严重的VMware Cloud Director错误可能会让黑客接管整个云基础架构

云计算和虚拟化技术公司VMWare周四发布了一项更新，以解决其Cloud Director产品中的一个关键安全漏洞，该漏洞可被武器化以发起远程代码执行攻击。

问题，分配了标识符CVE-2022-22966，CVSS得分为9.1分，最高为10分。VMware认为安全研究员Jari Jäskelä报告了该漏洞。

VMware在一份咨询中表示：“通过网络访问VMware Cloud Director租户或提供商的经过身份验证的高权限恶意参与者可能能够利用远程代码执行漏洞访问服务器”。

VMware Cloud Director（以前称为vCloud Director）被许多知名云提供商用来操作和管理其云基础架构，并获得跨站点和地理位置的数据中心可见性。

换句话说，该漏洞最终可能使攻击者能够访问敏感数据并接管整个基础设施内的私有云。

受影响的版本包括10.1.x、 10.2.x、 和10.3.x、 版本10.1.4.1、10.2.2.3和10.3.3中提供了修复程序。该公司还发布了在无法升级到推荐版本时可以遵循的解决方法。

这些补丁是在VMware Workspace ONE Access中检测到另一个最近修复的严重漏洞后一天发布的。

该漏洞（CVE-2022-22954）与远程代码执行漏洞有关，该漏洞源于VMware Workspace ONE Access and Identity Manager中的服务器端模板注入。

由于VMware产品往往成为威胁行为者的一个有利可图的目标，此次更新增加了企业应用必要缓解措施以防止潜在威胁的紧迫性。