VMware这个漏洞 或致企业服务器基础架构被劫持

发表于:2020-6-18 09:18  作者:佚名   来源:太平洋电脑网

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞

  近日,安全公司Citadelo发布了一份安全报告,详细描述了VMware漏洞,追踪到的编号为CVE-2020-3956。实际上,该漏洞是于今年4月在对财富500强企业客户和VMware Cloud Director用户进行安全审计时被首次发现。
  VMware Cloud Director是一个云服务交付平台,用于虚拟数据中心管理、数据中心扩展、云迁移以及托管自动化工具。目前,全球的云服务供应商和企业都在使用这个软件。
  此次漏洞的CVSSV3评分为8.8, VMware认为出现漏洞的原因是由于未对系统输入正确的处理造成的。根据Citadelo的说法,虽然利用这个漏洞可能会导致代码执行错误,并且黑客能够利用漏洞从技术上控制分配,但是由于攻击者必须在某种程度上进行身份验证,因此这个漏洞的范围较小。
  在分析漏洞时,Citadelo表示他们能够查看到VMware内部系统数据库,获取系统的存储密码散列、以及读取包括电子邮件和IP地址在内的客户数据。
  此外,VMware还表示经过认证的攻击者可能会向VMware Cloud Director发送恶意流量,从而执行任意远程代码。该漏洞可以通过HTML5和基于flex的ui、API Explorer接口和API访问来利用,黑客可以对数据库进行部分修改,以篡改虚拟机、以及篡改登录设置以窃取凭证。

     本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2020, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道