В платформе VMware для защиты конечных устройств нашли опасную брешь

Екатерина Быстрова 12 Апреля 2021 - 13:03

Корпорации

Positive Technologies

VMware

Уязвимости программ

Патчи

...

В платформе VMware для защиты конечных устройств нашли опасную брешь

Егор Димитренко из Positive Technologies выявил уязвимость в одном из компонентов облачной платформы VMware Carbon Black, предназначенной для обеспечения безопасности виртуальных машин корпоративной инфраструктуры. Разработчики уже выпустили патч и поблагодарили специалиста.

Брешь получила идентификатор CVE-2021-21982 и 9,1 баллов по шкале CVSS v3. Баг затрагивал локальное решение, которое связывает VMware vCenter Server (приложение для централизованного управления средами VMware vSphere) и VMware Carbon Black Cloud.

Как пояснил Егор Димитренко, атакующему не нужно проходить аутентификацию, поскольку любой пользователь, имеющий доступ к интерфейсу, может заполучить токен для работы с системой в обход легитимного процесса.

Причина уязвимости кроется в недостаточной проверке доступа к некоторым частям приложения, основанной на механизме черного списка, который является не таким эффективным с точки зрения безопасности, как доступ по белому списку.

«Интерфейс уязвимого приложения, как правило, доступен во внутренней сети организации, но в некоторых случаях открыт для атаки из интернета. Имея токен аутентификации, злоумышленник получает возможность работать в приложении Carbon Black Cloud Workload с максимальными привилегиями», — объясняет Димитренко.

Для устранения уязвимостей необходимо следовать рекомендациям, которые указаны в официальном уведомлении компании VMware.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Июля 2025 - 12:48

Windows Уязвимости программ Домашние пользователи Microsoft

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.