网络安全公司Citadelo发布了有关可能威胁的安全警告之后，VMware在其云服务交付平台VMware Cloud Director中修复了一个严重漏洞。

Citadelo说，发现了该漏洞，同时对使用VMware Cloud Director的《财富》 500强企业客户端进行了安全审核。该软件已被全球的企业和云服务供应商所采用。

渗透测试公司将VMware Cloud Director中的错误归因于平台无法正确处理输入，该错误有助于托管自动化工具，云迁移，虚拟数据中心管理和数据中心扩展。

VMware回应

Citadelo警告说，黑客可以利用漏洞（跟踪为CVE-2020-3956）进行执行代码执行攻击，并“从技术上”承担对与给定基础结构链接的所有私有云的控制。

该错误会影响VMware Cloud Director版本10.1.0及更低版本，以及Linux安装程序和PhotonOS设备上的vCloud Director 8x-10x。

Citadelo补充说，通过更改登录机制，从组织管理员到vCloud管理员的特权升级以及通过数据库修改来篡改虚拟机，利用网络安全漏洞利用网络错误的潜在后果可能涉及凭证失窃。

作为对该漏洞的详尽分析的一部分，这家网络安全公司表示，除了可以访问包含密码哈希（包括客户分配）的内部系统数据库之外，它还可以读取电子邮件，IP地址和其他机密客户端数据。

作为对该通报的回应，VMware将该漏洞（严重等级为CVSSV3评分为8.8）描述为“重要”漏洞，并提供了修补程序以及知识库中引用的解决方法。

云计算和虚拟化软件提供商承认，经过身份验证的参与者可能会路由其“恶意流量”其云服务交付平台（之前称为vCloud Director），从而触发执行任意远程代码。

VMware指出，黑客可以通过基于Flex和HTML5的用户界面，API Explorer界面和API访问来利用VMware Cloud Director中的漏洞。

该漏洞曝光后，公司于4月3日对其进行了分类和复制，从而在4月30日构建了补丁。随后，VMware在5月披露了有关此补丁的信息，以使VMware Cloud Director的用户可以对其补丁进行补丁。及时建立。最终，VMware在5月19日向其客户发布了安全公告。