VMware周二(6/18)修补了位于vCenter Server的3个安全漏洞,其中的CVE-2024-37079与CVE-2024-37080属于堆积溢位漏洞,可导致远端程式攻击,其CVSS风险评分高达9.8,另一个CVE-2024-37081则是本地端权限扩充漏洞,CVSS风险评分为7.8。
vCenter Server为VMware所开发的虚拟化管理软体,相关漏洞影响采用该软体的VMware vSphere与VMware Cloud Foundation。根据VMware的说明,vCenter Server在实现分散式运算环境/远端呼叫系统(DCE/RPC)协定时,出现了多个堆积溢位漏洞,将允许可借由网路存取vCenter Server的骇客传送特制封包来触发漏洞,进而导致远端程式攻击。
至于CVE-2024-37081则含有多个本地端权限扩张漏洞,源自于sudo的配置错误,将允许仅具备一般权限的本地端用户取得最高权限。
目前尚未发现上述漏洞遭到滥用,VMware督促用户应尽快修补。