Siber güvenlik araştırmacıları tarafından, VMware Cloud Director platformunda, bir saldırganın hassas bilgilere erişmesine ve özel bulut altyapısını ele geçirmesine neden olan kritik bir güvenlik açığı açıklandı. CVSS v.3 standardına göre önem derecesi 10 üzerinden 8.8 olarak belirlenen CVE- 2020-3956 kodlu code injection hatası, kimliği doğrulanmış bir saldırganın Cloud Director platformunu yönetmesine ve rastgele komut çalıştırmasına yol açan bir girdi işleminden kaynaklandığı belirtildi.
VMware Cloud Director, bulut kaynaklarını çalıştırmak ve yönetmek için kullanılan, işletmelerin farklı coğrafi konularındaki veri merkezlerindeki sanal veri merkezlerine izin veren popüler bir otomasyon ve yönetim yazılımıdır.
Şirket’e göre, güvenlik açığının istismar edilmesi sonucunda, bir saldırganın HTML5 ve Flex tabanlı UI’lere, API Explorer arabirime ve API’ya erişimi elde edebileceği belirtildi. Güvenlik açığı, 10.0.0.2’den önceki VMware Cloud Director 10.0.x, 9.7.0.5’ten önceki 9.7.0.x, 9.5.0.6’dan önceki 9.5.0.x ve 9.1.0.4’ten önceki 9.1.0.x sürümlerini etkilemektedir. Güvenlik açığı açıklanmadan önce gerekli yamalar yayınlandı. Güvenlik açığından etkilenmemek için gerekli güncelleştirmelerin yapılması gerekmektedir.
