Срочно. VMware исправляет критические недостатки в платформе vRealize AI

VMware исправляет критические недостатки в платформе vRealize AI, которые могли дать доступ к учётке администратора. Фото: Pixabay

Компания заявила, что первая уязвимость CVE-2021-21975 может позволить злоумышленнику, имеющему сетевой доступ к vRealize Operations Manager API, выполнить атаку подделки запросов на стороне сервера для кражи  учётных данных администратора. 

VMware оценила опасность проблемы и решила, что это «важная» серьёзность с максимальным  базовым баллом CVSS 8,5. (Всего баллов в шкале 10, чем выше число, тем серьёзнее уязвимость)

vRealize - это платформа компании на базе  искусственного интеллекта, которая обеспечивает «автономное управление ИТ-операциями для частных, гибридных и мультиоблачных сред».

Вторая уязвимость CVE-2021-21983 позволяла аутентифицированному  злоумышленнику  с сетевым доступом к vRealize Operations Manager API записывать файлы в произвольные места в базовой операционной системе Photon. VMware оценила проблему как «важную» и присвоила ей базовый балл CVSSv3 7,2.

Компания  опубликовала рекомендации по безопасности, чтобы проинформировать клиентов о двух уязвимостях. Затронутые продукты - это VMware vRealize Operations, VMware Cloud Foundation и vRealize Suite Lifecycle Manager.