VMware 本周发布了软件更新，以解决两个关键安全漏洞CVE-2022-22951 和 CVE-2022-22952（均获得 CVSS 评分 10），影响其 Carbon Black App Control 平台，可能被威胁者利用在 Windows 系统上受影响的安装上执行任意代码。

Carbon Black App Control是一款允许列出解决方案的应用程序，该解决方案旨在使安全运营团队能够锁定新旧系统以防止不必要的更改、简化合规流程并为公司系统提供保护。

安全研究人员 Jari Jääskelä 报告了这些漏洞。

“VMware Carbon Black App Control 中的多个漏洞已私下报告给 VMware。可以使用更新来修复受影响的 VMware 产品中的这些漏洞。” 阅读VMware 发布的公告。

只有经过身份验证的具有高权限的攻击者才能利用这些问题。最便宜的泰国云vps

第一个漏洞，编号为 CVE-2022-22951，是 Carbon Black App Control 中的一个操作系统命令注入漏洞。该问题是由于不正确的输入验证导致远程代码执行。

“通过网络访问 VMware App Control 管理界面的经过身份验证的高特权恶意行为者可能能够在服务器上执行命令，因为不正确的输入验证会导致远程代码执行。” 阅读咨询。

第二个漏洞，编号为 CVE-2022-22952，是 VMware Carbon Black App Control 中的一个文件上传漏洞。攻击者可以通过上传特制文件来触发该漏洞。

“对 VMware App Control 管理界面具有管理访问权限的恶意行为者可能能够通过上传特制文件在安装了 AppC 服务器的 Windows 实例上执行代码。” 继续咨询。

受影响的版本是 8.5.x、8.6.x、8.7.x 和 8.8.x，这家虚拟化巨头通过发布 8.5.14、8.6.6、8.7.4 和 8.8.2 版本解决了这些缺陷。建议客户立即安装安全更新。