VMware hôm thứ Ba đã chuyển các bản cập nhật bảo mật để giải quyết lỗ hổng bảo mật nghiêm trọng trong sản phẩm VMware Cloud Foundation của mình.
Được theo dõi dưới dạng CVE-2021-39144, sự cố đã được đánh giá 9,8 trên 10 trên hệ thống chấm điểm lỗ hổng CVSS và liên quan đến lỗ hổng thực thi mã từ xa thông qua thư viện nguồn mở XStream.
"Do một điểm cuối chưa được xác thực tận dụng XStream để tuần tự hóa đầu vào trong VMware Cloud Foundation (NSX-V), một tác nhân độc hại có thể thực thi mã từ xa trong bối cảnh 'root' trên thiết bị," công ty cho biết trong một lời khuyên.
Trước mức độ nghiêm trọng của lỗ hổng và mức độ khai thác tương đối thấp, nhà cung cấp dịch vụ ảo hóa có trụ sở tại Palo Alto cũng đã cung cấp một bản vá cho các sản phẩm cuối vòng đời.
Cũng được VMware giải quyết như một phần của bản cập nhật là CVE-2022-31678 (điểm CVSS: 5.3), lỗ hổng XML External Entity (XXE) có thể bị khai thác để dẫn đến tình trạng từ chối dịch vụ (DoS) hoặc tiết lộ thông tin trái phép.
Các nhà nghiên cứu bảo mật Sina Kheirkhah và Steven Seeley của Source Incite đã được ghi nhận là người đã báo cáo cả hai sai sót.
Người dùng VMware Cloud Foundation nên áp dụng các bản vá để giảm thiểu các mối đe dọa tiềm ẩn.