VMware修補混合雲平臺Cloud Foundation高風險漏洞

VMware上周發布安全公告，修補混合雲平臺Cloud Foundation 2項漏洞，包含風險值達9.8的遠端程式碼執行（remote code execution，RCE）漏洞。

編號CVE-2021-39144的RCE漏洞存在VMware Cloud Foundation中的開源函式庫XStream中。VMware說明，攻擊者可透過內建XStream的授權終端在VMware Cloud Foundation（NSX-V）執行輸入序列化（input serialization），而在目標裝置上以root權限，遠端執行程式碼。VMware將之風險評為9.8，屬於重大風險。

VMware同時還發布Cloud Foundation更新版，修補XML外部實體（XML External Entity，XXE）攻擊漏洞，編號CVE-2022-31678。此類漏洞發生在配置不當的XML解析器處理指向外部實體的檔案。以這項漏洞來說，可能讓未授權攻擊者發動阻斷服務攻擊，或是洩露敏感文件。本漏洞風險值為5.3，屬於中度風險。

最新的二項漏洞皆影響Cloud Foundation 3.11及以前版本。4.x版本則不受影響。

由於沒有任何暫時性緩解方法，VMware建議用戶應儘速安裝更新版軟體。