شرکت نرمافزاری VMware بهتازگی یک آسیبپذیری بحرانی را وصله کرده است که میتواند برای به خطرانداختن vCenter Server یا سایر سرویسهایی که برای احراز هویت به Directory Service متکی هستند، مورد بهرهبرداری قرار بگیرد. این آسیبپذیری که با شناسهی CVE-2020-3952 ردیابی میشود، در سیستمCVSS ، نمرهی ۱۰ را به خود اختصاص داده است.
طبق گزارشها، این نقص که نسخهی ۶٫۷ vCenter Server در ویندوز و ماشینهای مجازی را تحت تأثیر قرار میدهد، با انتشار بهروزرسانی ۶٫۷u3f وصله شده است. بااینحال، VMware خاطرنشان كرد كه vCenter Server تنها درصورتی تحت تأثیر این آسیبپذیری قرار دارد که از نسخهی قبل ارتقاء یافته باشد و اگر کاربری مستقیماً نسخهی ۶٫۷ را نصب کرده باشد، این محصول تحت تأثیر این اشکال امنیتی قرار نمیگیرد.
شرکت VMware این آسیبپذیری را بهعنوان یک اشکال افشای اطلاعات مربوط به Directory Service (vmdir) توصیف کرده است. براساس مشاورهی منتشرشده توسط این شرکت، تحت شرایط خاص، vmdir که با VMware vCenter Server، بهعنوان بخشی از کنترلکنندهی سرویس بسترهای نرمافزاری (PSC) تعبیهشده یا خارجی حمل میشود، کنترلهای دسترسی را بهدرستی اجرا نمیکند. در نتیجه، مهاجم با دسترسی به شبکهی یک vmdir آلوده، میتواند اطلاعات بسیار حساسی را برای به خطرانداختن vCenter Server یا سایر سرویسهای وابسته به vmdir برای احراز هویت، استخراج کند. به گفتهی VMware، کاربران میتوانند با بررسی تاریخچهی ورودیهای خاصی به vmdir، تعیین کنند که آیا تحت تأثیراین آسیبپذیری جدید قرار دارند یا خیر.