Vmware针对云基础平台中的关键Rce缺陷发布修补程序

VMware周二发布了安全更新，以解决其VMware Cloud Foundation产品中的一个关键安全缺陷。

该问题被追踪为CVE – 2021 – 39144，在CVSS漏洞评分系统上被评为9.8 / 10，并通过XStream开源库涉及远程代码执行漏洞。

该公司在一份咨询报告中说：”由于在VMware Cloud Foundation ( NSX-V )中使用XStream进行输入序列化的未认证端点，恶意行为者可以在设备上的’根’上下文中获得远程代码执行。

鉴于该缺陷的严重性及其相对较低的利用限制，基于帕洛阿尔托的虚拟化服务提供商还为报废产品提供了修补程序。

作为更新的一部分，VMware还解决了CVE- 2022- 31678 ( CVSS评分: 5.3分)，这是一个XML External Entity ( XXE )漏洞，可利用该漏洞导致拒绝服务( DoS )条件或未经授权的信息泄露。

安全研究人员Sina Kheirkhah和Steven Seeley在报告这两个缺陷时被认为是有缺陷的。

建议VMware Cloud Foundation的用户应用这些补丁来缓解潜在威胁。