شرکت نرمافزاری VMware بهدنبال وصلهکردن دو آسیبپذیری موجود در سیستم مدیریت پیکربندی و ترتیب هماهنگی Salt که در محصول vRealize Operations Manager (vROps) این شرکت بهکار رفته است، میباشد. به گفتهی VMware، قابلیت Application Remote Collector (ARC) که در نسخهی ۷٫۵ محصول vROps معرفی شده است، از سیستم Salt استفاده میکند.
به گفتهی محققان، این دو آسیبپذیری از نوع دورزدن احراز هویت (CVE-2020-11651) با شدت بحرانی و پیمایش مسیر (CVE-2020-11652) با شدت مهم هستند.
براساس مشاورهنامهی منتشرشده توسط VMware، آسیبپذیری اول، میتواند به یک مهاجم با دسترسی شبکه به پورت ۴۵۰۵ یا ۴۵۰۶ روی ARC، اجازه دهد تا کنترل ARC و هر ماشین مجازی دیگری که از ARC استفاده میکند، را به دست آورد. درحالیکه آسیبپذیری دوم، امکان دسترسی به کل سیستم فایل ARC را برای یک مهاجم با دسترسی شبکه به پورت ۴۵۰۵ یا ۴۵۰۶ روی ARC، فراهم میکند. طبق گزارشها، این آسیبپذیریها درحالحاضر بهصورت عمومی افشا شده و برای نفوذ و نقض دادهی سازمانهایی همچون LineageOS،Ghost ، DigiCert و Algolia مورد بهرهبرداری قرار گرفتهاند. به گفتهی VMware، این آسیبپذیریها نسخههای ۸٫۱٫۰، ۸٫۰٫x و ۷٫۵٫۰ محصول vROps را تحت تأثیر قرار میدهند. شرکت VMware از انتشار وصلههایی برای این آسیبپذیریها در آیندهای نزدیک خبر داده است.