VMware, sadırganların Windows sistemlerinde rastgele kod yürütmek için kötüye kullanılabilecek Carbon Black platformunu etkileyen iki kritik güvenlik açığını kapatmak için yazılım güncellemeleri yayınladı. CVE-2022-22951 ve CVE-2022-22952 olarak izlenen her iki zafiyette CVSS güvenlik açığı puanlama sisteminde maksimum 10 üzerinden 9,1 olarak derecelendirilmiş.
Bununla birlikte, güvenlik açıklarından başarılı bir şekilde yararlanılması, saldırganın yönetici veya yüksek ayrıcalıklı bir kullanıcı olarak oturum açmış olması ön koşuluna bağlıdır. Zafiyete bakıldığında VMware App Control yönetim arayüzüne ağ erişimi olan kimliği doğrulanmış ve yüksek ayrıcalıklı bir saldırganın “hatalı giriş doğrulaması nedeniyle sunucuda komutları yürütmesine” olanak tanıyan komut enjeksiyon güvenlik açığı olarak tanımlanmış. Zafiyetler Carbon Black Uygulama Kontrolü 8.5.x, 8.6.x, 8.7.x ve 8.8.x sürümlerini etkilerken 8.5.14, 8.6.6, 8.7.4 ve 8.8.2 sürümlerinde giderilmiş durumda.
Kaynak: thehackernews.com