VMware上周发布安全公告,修补混合云平台Cloud Foundation 2项漏洞,包含风险值达9.8的远程程序代码执行(remote code execution,RCE)漏洞。
编号CVE-2021-39144的RCE漏洞存在VMware Cloud Foundation中的开源函数库XStream中。VMware说明,攻击者可通过内置XStream的授权终端在VMware Cloud Foundation(NSX-V)执行输入串行化(input serialization),而在目标设备上以root权限,远程执行程序代码。VMware将之风险评为9.8,属于重大风险。
VMware同时还发布Cloud Foundation更新版,修补XML外部实体(XML External Entity,XXE)攻击漏洞,编号CVE-2022-31678。此类漏洞发生在配置不当的XML解析器处理指向外部实体的文件。以这项漏洞来说,可能让未授权攻击者发动拒绝服务攻击,或是泄露敏感文件。本漏洞风险值为5.3,属于中度风险。
最新的二项漏洞皆影响Cloud Foundation 3.11及以前版本。4.x版本则不受影响。
由于没有任何暂时性缓解决方案法,VMware建议用户应尽快安装更新版软件。