Эксплуатация уязвимостей позволяет выполнить произвольные команды на системе под управлением Windows.

Компания VMware исправила уязвимости внедрения команд ОС и загрузки файлов в своем продукте безопасности Carbon Black App Control для Windows.

Обе проблемы получили оценку в 9,1 балла из максимальных 10 по шкале CVSS. Эксплуатация уязвимостей позволяет выполнить произвольные команды на системе под управлением Windows для развертывания вредоносных программ, кражи данных или сканирования сети. В обоих случаях злоумышленник должен войти в систему с правами администратора или пользователя с высокими привилегиями.

Представители VMware не сообщили, подвергаются ли данные уязвимости активной эксплуатации в реальных атаках.

Обе уязвимости затрагивают продукт VMware Carbon Black App Control — средство защиты центров обработки данных на основе агентов, которое позволяет системным администраторам блокировать серверы и предотвращать любые нежелательные изменения или вмешательство в важные системы.

Уязвимость внедрения команд ОС (CVE-2022-22951) может позволить авторизованному злоумышленнику с высокими привилегиями и сетевым доступом к интерфейсу администрирования VMware App Control удаленно выполнять команды на сервере.

Вторая проблема (CVE-2022-22952) может позволить злоумышленнику с административным доступом загрузить специально созданный файл и затем выполнить вредоносный код на системе под управлением Windows, на которой запущен сервер управления приложениями.

Источник: securitylab