Erreur de contrôle d’application de noir de carbone critique VMware Plugs
Le géant de la virtualisation VMware a publié mardi un correctif de sécurité majeur pour couvrir une vulnérabilité critique dans son produit Carbon Black App Control destiné aux entreprises.
Le Critical Severity Advisor de VMware suit la vulnérabilité en tant que CVE-2023-20858 et avertit que les pirates peuvent lancer des exploits d’injection pour obtenir un accès complet au système d’exploitation du serveur sous-jacent.
« Un acteur malveillant avec un accès privilégié à la console d’administration App Control peut être en mesure d’utiliser des entrées spécialement conçues pour permettre l’accès au système d’exploitation du serveur sous-jacent », VMware averti.
La vulnérabilité, qui a un score de gravité CVSS de 9,1 sur 10, affecte les versions App Control 8.7.x, 8.8.x et 8.9.x exécutées sur Microsoft Windows.
La société a déclaré que le problème avait été signalé en privé par Jari Jääskelä, un chercheur en sécurité actif sur la plate-forme de primes de bogues HackerOne.
VMware Carbon Black App Control est un produit de sécurité utilisé par les défenseurs des entreprises pour garantir que seuls les logiciels fiables et approuvés sont autorisés à s’exécuter sur les systèmes et terminaux critiques.
VMware a également publié le Conseils de détresse importants Pour avertir d’une élévation de privilèges et d’une faille de divulgation d’informations dans le produit vRealize Orchestrator.
« Un acteur malveillant, qui a un accès non administratif à vRealize Orchestrator, peut être en mesure d’utiliser des entrées spécialement conçues pour contourner les restrictions d’analyse XML conduisant à l’accès à des informations sensibles ou à une élévation potentielle des privilèges », a déclaré la société.
à propos de: Une lacune contournant les trous d’authentification dans l’espace de travail VMware One
à propos de: VMware affirme qu’il n’y a aucune preuve de vulnérabilités zero-day dans les attaques de ransomware ESXi
à propos de: VMware Patches VM Escape Flaw exploité lors de l’événement Geekpwn