Een fout in VMware Cloud Director stelt hackers in staat op afstand code uit te voeren en controle te krijgen over privรฉclouds.
VMware Cloud Director is een platform voor het leveren van cloudservices dat voornamelijk wordt gebruikt voor het beheer van virtuele datacenters, uitbreiding, en cloudmigratie, ontworpen voor cloudserviceproviders en internationale ondernemingen.
De fout werd in april ontdekt door penetratietestbedrijf Citadelo, die het volgde als CVE-2020-3956.
VMware gaf het een CVSSV3-ernstscore van 8.8 โ which classifies the vulnerability as โimportantโ – and described it as a failure to properly handle input.
Volgens Citadelo, de fout kan leiden tot uitvoering van code en overname van de cloud, maar VMware merkte zorgvuldig op dat de aanvaller nog steeds een niveau van geverifieerde toegang nodig zou hebben.
โEen geverifieerde actor kan kwaadaardig verkeer naar VMware Cloud Director sturen, wat kan leiden tot het uitvoeren van willekeurige externe code,” said VMware.
“This vulnerability can be exploited through the HTML5- en op Flex gebaseerde gebruikersinterfaces, de API Explorer-interface, and API access.”
Het bedrijf stuurde medio mei een advies naar zijn klanten, waarin het alle versies van VMware Cloud Director tot v 10.1.0 waren beรฏnvloed.
Linux-bound vCloud Director 8x – 10x and PhotonOS appliances were also vulnerable.
