VMware a corrigé une vulnérabilité critique en écriture hors limites et une faille de gravité moyenne en matière de divulgation d’informations dans vCenter Server, son célèbre logiciel de gestion de serveurs.
CVE-2023-34048 permet à un attaquant disposant d’un accès réseau à une appliance virtuelle vCenter Server vulnérable de déclencher une écriture hors limites pouvant conduire à l’exécution de code à distance.
Une deuxième vulnérabilité dans le serveur VMware vCenter a été signalée par Oleg Moshkov de Deiteriy Lab OÜ. Il s’agit d’une vulnérabilité de divulgation partielle d’informations qui pourrait permettre à un attaquant disposant de privilèges non administratifs d’accéder à des données non autorisées.
« En raison de la gravité de cette vulnérabilité et de l’absence de solution de contournement, VMware a mis à disposition un correctif pour vCenter Server 6.7U3, 6.5U3 et VCF 3.x. Pour les mêmes raisons, VMware a mis à disposition des correctifs supplémentaires pour vCenter Server 8.0U1 », a déclaré la société.
Des correctifs vCenter Server asynchrones pour les déploiements VCF 5.x et 4.x sont également disponibles.
En juin, une vulnérabilité critique d’injection de commande avant authentification dans VMware Aria Operations for Network a été observée et exploitée dans la nature.
