VMware avertit ses clients qu’ils doivent immédiatement corriger une vulnérabilité critique de téléchargement de fichiers arbitraires dans le service Analytics, ce qui a un impact sur toutes les appliances exécutant des déploiements vCenter Server 6.7 et 7.0 par défaut.
vCenter Server est une solution de gestion de serveurs qui aide les administrateurs informatiques à gérer les hôtes virtualisés et les machines virtuelles dans les environnements d’entreprise via une console unique.
« Cette vulnérabilité peut être utilisée par quiconque peut atteindre vCenter Server sur le réseau pour obtenir un accès, quels que soient les paramètres de configuration de vCenter Server », a déclaré Bob Plankers, architecte du marketing technique chez VMware.
« Un acteur malveillant ayant un accès réseau au port 443 de vCenter Server peut exploiter ce problème pour exécuter du code sur vCenter Server en téléchargeant un fichier spécialement conçu. »
En mai, VMware a émis un avertissement similaire concernant une faille critique d’exécution de code à distance dans le plug-in Virtual SAN Health Check ayant un impact sur tous les déploiements de vCenter Server.
Un autre bogue critique RCE affectant tous les déploiements de vCenter Server utilisant un plug-in vCenter Server vulnérable pour vRealize Operations présent dans toutes les installations par défaut a été corrigé en février.