A VMware lançou atualizações de segurança para corrigir uma falha crítica no vCenter Server que poderia resultar em execução remota de código nos sistemas afetados.

A vulnerabilidade, identificada como CVE-2023-34048 e com uma pontuação CVSS de 9.8, é descrita como uma vulnerabilidade de gravação fora dos limites na implementação do protocolo DCE/RPC.

Segundo um comunicado da VMware, um ator malicioso com acesso à rede ao vCenter Server poderia desencadear uma gravação fora dos limites, levando potencialmente à execução remota de código.

A VMware afirmou que não há soluções alternativas para mitigar a vulnerabilidade e que atualizações de segurança estão disponíveis para as seguintes versões do software: VMware vCenter Server 8.0, VMware vCenter Server 7.0 e VMware Cloud Foundation 5.x e 4.x.

Devido à criticidade da falha e à falta de medidas de mitigação temporárias, a VMware também disponibilizou um patch para o vCenter Server 6.7U3, 6.5U3 e VCF 3.x.

A VMware declarou que não tem conhecimento de explorações dessas falhas, mas recomendou que os clientes apliquem os patches o mais rápido possível para mitigar qualquer ameaça potencial.