As falhas divulgadas afetam o software vRealize de coleta e análise de logs da VMware. As atualizações para as vulnerabilidades estão disponíveis para o VMware vRealize Log Insight na versão 8.10.2.

A VMware também publicou soluções alternativas para os clientes afetados. De acordo com o comunicado, todas as quatro falhas foram relatadas pela Zero Day Initiative da Trend Micro.

O pesquisador James Horseman publicou na última terça feira, detalhes técnicos e uma exploração de prova de conceito para as falhas, que podem ser encadeados para executar código remotamente.

“Além disso, como é improvável que este produto seja exposto à Internet, o invasor provavelmente já estabeleceu uma posição em outro lugar da rede”, escreveu Horseman.

“Esta vulnerabilidade permite a execução remota de código como root, essencialmente dando ao invasor controle completo sobre o sistema. Se um usuário determinar que foi comprometido, é necessária uma investigação adicional para determinar qualquer dano causado por um invasor.”

Horseman pediu aos clientes que atualizem suas instâncias ou apliquem soluções alternativas, acrescentando que, embora alguns provavelmente já o tenham feito, “esperamos que muitos ainda não tenham corrigido”.