放大(图片来源:Getty Images)
本周发布了针对 VMware Cloud Foundation 和 NSX Manager 设备中刚刚修补的漏洞的利用代码,该漏洞允许未经身份验证的黑客以最高系统权限执行恶意代码。
VMware 于周二修补了该漏洞(编号为 CVE-2021-39144),并将其严重等级评定为 9.8(满分为 10 分)。该漏洞位于 Cloud Foundation 和 NSX Manager 所依赖的 XStream 开源库中,构成如此巨大的风险,VMware 采取了不同寻常的步骤来修补不再受支持的版本。该漏洞影响 Cloud Foundation 版本 3.11 及更低版本。 4.x 版没有风险。
“VMware Cloud Foundation 包含一个通过 XStream 开源库的远程代码执行漏洞,”该公司周二发布的公告中写道。 “由于在 VMware Cloud Foundation (NSX-V) 中利用 XStream 进行输入序列化的未经身份验证的端点,恶意行为者可以在设备上的‘root’上下文中远程执行代码。”