VMware avertit ses clients qu’ils doivent immédiatement corriger une vulnérabilité critique de téléchargement de fichiers arbitraires dans le service Analytics, ce qui a un impact sur toutes les appliances exécutant des déploiements vCenter Server 6.7 et 7.0 par défaut.
vCenter Server est une solution de gestion de serveurs qui aide les administrateurs informatiques à gérer les hôtes virtualisés et les machines virtuelles dans les environnements d’entreprise via une console unique.
«Cette vulnérabilité peut être utilisée par quiconque peut atteindre vCenter Server sur le réseau pour obtenir un accès, quels que soient les paramètres de configuration de vCenter Server», a déclaré Bob Plankers, architecte du marketing technique chez VMware.
«Un acteur malveillant ayant un accès réseau au port 443 de vCenter Server peut exploiter ce problème pour exécuter du code sur vCenter Server en téléchargeant un fichier spécialement conçu.»
En mai, VMware a émis un avertissement similaire concernant une faille critique d’exécution de code à distance dans le plug-in Virtual SAN Health Check ayant un impact sur tous les déploiements de vCenter Server.
Un autre bogue critique RCE affectant tous les déploiements de vCenter Server utilisant un plug-in vCenter Server vulnérable pour vRealize Operations présent dans toutes les installations par défaut a été corrigé en février.