شرکت VMware یک آسیب‌پذیری اجرای کد از راه دور را در محصول خود وصله کرد

شرکت VMware یک آسیب‌پذیری حیاتی اجرای کد از راه دور را بر روی بستر کارگزار vCenter وصله کرد. بهره‌برداری از این آسیب‌پذیری در برخی سناریوها به مهاجم اجازه‌ی اجرای کد بر روی سامانه‌ی هدف را می‌داد.

آسیب‌پذیری نسخه‌های ۶.۵ و ۶.۰ این بستر را تحت تأثیر قرار داده است. به کاربران توصیه شده حتماً نسخه‌های به‌روزرسانی‌شده‌ی ۵.۶c و ۶.۰U۳b را دریافت و نصب کنند.

این آسیب‌پذیری در اصل از استفاده‌ی BlazeDS که مؤلفه‌ای متعلق به شرکت ادوبی است ناشی شده است. این ابزار مبتنی بر کارگزار برای نظارت جاوا از راه دور و فناوری‌های ارتباطی بر روی این بستر استفاده شده است. به گفته‌ی این شرکت، با استفاده از اشیاء غیرقابل اعتماد جاوا، این آسیب‌پذیری قابل بهره‌برداری بوده و مهاجم می‌تواند کنترل سامانه را در دست بگیرد.

این شرکت اعلام کرده آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۷-۵۶۴۱ بر روی قابلیت برنامه‌ی بهبود تجربه‌ی مشتری (CEIP) وجود دارد. حتی اگر این قابلیت از روی این بستر حذف شود، آسیب‌پذیری همچنان وجود داشته و قابل بهره‌برداری است.

منبع: asis

درباره نماد امنیت وب

کانال اخبار فناوری اطلاعات نماد امن

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.