VMware Patches Critical Vulnerability in Carbon Black App Control Product
VMware ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญซึ่งส่งผลต่อผลิตภัณฑ์ Carbon Black App Control ช่องโหว่ดังกล่าวถูกติดตามเป็น CVE-2023-20858 (CVSS 91) ซึ่งส่งผลกระทบต่อ App Control เวอร์ชัน 87x, 88x และ 89x ช่องโหว่นี้ทำให้ผู้โจมตีที่มีสิทธิพิเศษในการเข้าถึง console การจัดการ App Control อาจสามารถใช้อินพุตที่สร้างขึ้นมาเป็นพิเศษเพื่อให้สามารถเข้าถึงระบบปฏิบัติการเซิร์ฟเวอร์พื้นฐานได้
VMware กล่าวว่าปัจจุบันยังไม่มีวิธีที่สามารถแก้ไขข้อบกพร่องนี้ได้ และแนะนำลูกค้าอัปเดตเป็นเวอร์ชัน 878, 886 และ 894 เพื่อลดความเสี่ยงที่อาจเกิดขึ้น
นอกจากนี้ VMware ยังแก้ไขช่องโหว่ CVE-2023-20855 (CVSS score: 88) ที่ส่งผลกระทบต่อ vRealize Orchestrator, vRealize Automation และ Cloud Foundation ช่องโหว่นี้ทำให้ผู้โจมตีที่เข้าถึง vRealize Orchestrator ได้โดยไม่ต้องใช้สิทธิ์ของผู้ดูแลระบบ และอาจใช้อินพุตที่สร้างขึ้นมาเป็นพิเศษเพื่อข้ามข้อจำกัดในการแยกวิเคราะห์ XML ซึ่งนำไปสู่การเข้าถึงข้อมูลที่ละเอียดอ่อนหรือการเพิ่มสิทธิ์ต่างๆ
https://thehackernews.com/2023/02/vmware-patches-critical-vulnerability.html