شرکت VMware یک آسیب‌پذیری اجرای کد از راه دور را در محصول خود وصله کرد.

شرکت VMware یک آسیب‌پذیری اجرای کد از راه دور را در محصول خود وصله کرد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت VMware یک آسیب‌پذیری حیاتی اجرای کد از راه دور را بر روی بستر کارگزار vCenter وصله‌کرد. بهره‌برداری از این آسیب‌پذیری در برخی سناریوها به مهاجم اجازه‌ اجرای کد بر روی سامانه‌ هدف را می‌داد.

آسیب‌پذیری نسخه‌های ۶.۵ و ۶.۰ این بستر را تحت تأثیر قرار داده‌است. به کاربران توصیه شده حتماً نسخه‌های به‌روزرسانی‌شده‌ ۵.۶c و ۶.۰U۳b را دریافت و نصب کنند.

این آسیب‌پذیری در اصل از استفاده‌ BlazeDS که مؤلفه‌ای متعلق به شرکت ادوبی است ناشی شده‌است. این ابزار مبتنی‌بر کارگزار برای نظارت جاوا از راه دور و فناوری‌های ارتباطی بر روی این بستر استفاده شده‌است. به گفته‌ این شرکت با استفاده از اشیاء غیرقابل اعتماد جاوا، این آسیب‌پذیری قابل بهره‌برداری بوده و مهاجم می‌تواند کنترل سامانه را در دست بگیرد.

این شرکت اعلام کرد که آسیب‌پذیری با شناسه‌ CVE-2017-5641 بر روی قابلیت برنامه‌ بهبود تجربه‌ مشتری (CEIP) وجود دارد. حتی اگر این قابلیت از روی این بستر حذف‌شود، آسیب‌پذیری همچنان وجود داشته و قابل بهره‌برداری است.