VMware 修补炭黑应用控制产品中的严重漏洞

VMware周二发布了修补程序，以解决影响其Carbon Black App Control产品的关键安全漏洞。该缺点被称为CVE-2023-20858，CVSS评分为9.1，最高为10分，并影响App Control版本8.7.x、8.8.x和8.9.x。虚拟化服务提供商将此问题描述为注入漏洞。

安全研究员Jari Jääskelä被认为发现并报告了该漏洞。该公司在一份咨询意见中表示：“拥有App Control管理控制台特权的恶意行为者可能能够使用特制的输入，从而访问底层服务器操作系统。”。VMware表示，没有解决该缺陷的解决方案，因此客户必须更新到8.7.8、8.8.6和8.9.4版本，以减轻潜在风险。值得指出的是，Jääskelä报告了同一产品中的两个关键漏洞（CVE-2022-22951和CVE-2022-2022952，CVSS评分：9.1），并于2022年3月由VMware解决。该公司还修复了影响vRealize Orchestrator、vRealize Automation和Cloud Foundation的XML外部实体（XXE）漏洞（CVE-2023-2085，CVSS评分：8.8）。

VMware表示：“具有vRealize Orchestrator非管理访问权限的恶意参与者可能能够使用精心设计的输入来绕过XML解析限制，从而访问敏感信息或可能升级权限。”。威胁行为者在其攻击中针对VMware产品漏洞并不罕见，因此用户尽快安装补丁至关重要。

原文始发于微信公众号（黑猫安全）：VMware 修补炭黑应用控制产品中的严重漏洞