Разработчики VMware выпустили патч для критической уязвимости в гибридной облачной платформе VMware Cloud Foundation. Проблема была обнаружена в опенсорсной библиотеке XStream, используемой Cloud Foundation, и получила 9,8 баллов из 10 возможных по шкале оценки уязвимостей CVSS.
Уязвимость, получившая идентификатор CVE-2021-39144, была обнаружена экспертами из Source Incite и может вести к удаленному выполнению произвольного кода, не требуя аутентификации и какого-либо взаимодействия с пользователем. Также разработчики предупреждают, что эксплуатацию бага вряд ли можно назвать сложной.
«Из-за неаутентифицированной конечной точки, которая использует XStream для сериализации imput’а в VMware Cloud Foundation (NSX-V), злоумышленник может осуществить удаленное выполнение кода в контексте root на устройстве», — предупреждают представители VMware.
Так как обнаруженная проблема получила статус критической, разработчики выпустили исправления даже для тех продуктов, срок поддержки которых уже истек.
VMware обновила XStream до версии 1.4.19, чтобы устранить CVE-2021-39144, а тем, кто по какой-то причине не может сразу установить патч, в компании предложили обходной способ для временного решения проблемы.
Также следует отметить, что с релизом этого патча исправлена еще одна менее опасная уязвимость (CVE-2022-31678), которая могла спровоцировать отказ в обслуживании или раскрыть информацию после XXE-атаки.
