Выявлена уязвимость в VMware View Planner

12 апрель, 2021 - 13:05

Positive Technologies выявила уязвимость в VMware View Planner

Компания VMware исправила уязвимость в VMware View Planner – утилите для симуляции нагрузки на инфраструктуру виртуальных ПК и тестирования их производительности. Соответствующее уведомление опубликовано на сайте VMware.

Уязвимость, обнаруженная экспертом Positive Technologies, получила идентификатор CVE-2021-21978 и оценку 8,6 по шкале CVSSv3, что соответствует высокому уровню опасности. Ошибка относится к классу Remote Code Execution, который представляет максимальную угрозу по классификации OWASP и позволяет гарантированно взламывать веб-приложения.

По мнению специалистов, уязвимость возникла из-за недостаточной фильтрации пользовательских данных, а также в связи с отсутствием авторизации на URL-адресе, который необходим для эксплуатации. После получения RCE злоумышленник может попытаться развить атаку для проникновения в корпоративную сеть или попробовать получить доступ к конфиденциальным данным в View Planner. Впрочем, следует учитывать, что RCE будет в контейнере, что снижает уровень угрозы.

Для устранения уязвимости необходимо руководствоваться рекомендациями в официальном уведомлении компании VMware.