Vulnerabilidade de execução remota de código de patches da VMware no View Planner

A ferramenta de benchmarking fornece metodologia consistente para a comparação de plataformas de implantação de desktop virtual, medindo o desempenho das operações de aplicativos e a escalabilidade da plataforma de implantação.

A VMware anunciou esta semana a disponibilidade de um patch de segurança para o VMware View Planner, para abordar uma vulnerabilidade que leva à execução remota de código.

A ferramenta de benchmarking fornece metodologia consistente para a comparação de plataformas de implantação de desktop virtual, medindo o desempenho das operações de aplicativos e a escalabilidade da plataforma de implantação.

Com o lançamento do View Planner 4.6 Security Patch 1 em 2 de março, a VMware corrige o CVE-2021-21978, um problema que pode permitir que um invasor execute o código remotamente. O bug apresenta uma pontuação CVSS de 8,6.

Em seu comunicado , a VMware explica que o bug está, na verdade, enraizado na validação indevida de entradas, complementada pela falta de autorização.

Juntos, esses problemas podem ser usados ​​para o upload de arquivos arbitrários no aplicativo da web logupload, o que pode levar à execução do código.

De acordo com a empresa, um invasor que queira explorar esse bug precisa já ter comprometido a rede para acessar o View Planner Harness.

O invasor pode então abusar da vulnerabilidade para carregar um arquivo especialmente criado e executá-lo, o que resultaria essencialmente na execução de código remotamente, dentro do contêiner logupload.

A empresa também observa que considera a vulnerabilidade “na faixa de gravidade Importante” e que o bug foi relatado em particular.

A VMware recomenda que todos os clientes afetados apliquem o patch de segurança lançado esta semana, para garantir que estejam protegidos.

O problema foi relatado por Mikhail Klyuchnikov, pesquisador da Positive Technologies. A VMware não faz menção à vulnerabilidade que está sendo explorada à solta.

Fonte: https://www.securityweek.com/