VMware新致命漏洞，黑客可遠端控制你的系統

vmware已發布臨時解決方法，以解決其產品中的乙個關鍵漏洞，黑客攻擊者可以利用該漏洞控制受影響的系統。

這家虛擬化軟體和服務公司在其諮詢中指出：「具有惡意軟體的行為者，可以通過埠8443訪問網路上的管理配置器，並且配置器管理員賬戶的有效密碼可以在底層作業系統上以不受限制的特權執行命令。」

跟蹤為cve-2020-4006的命令注入漏洞，其cvss評分為9.1（滿分10），並影響vmware workspace one access，access聯結器，identity manager和identity manager聯結器。

儘管該公司表示該漏洞的補丁程式「即將發布」，但它並未指定確切的發布日期。尚不清楚該漏洞是否正在受到積極攻擊。

受影響的產品的完整列表如下：

vmware workspace one access（linux和windows的版本20.01和20.10）

vmware workspace one access聯結器（適用於windows的版本20.10、20.01.0.0和20.01.0.1）

vmware identity manager（適用於linux和windows的版本3.3.1、3.3.2和3.3.3）

vmware identity manager聯結器（linux版3.3.1、3.3.2和windows版3.3.1、3.3.2、3.3.3）

vmware cloud foundation（適用於linux和windows的4.x版本）

vrealize suite lifecycle manager（適用於linux和windows的8.x版）

vmware表示，該解決方法僅適用於埠8443上託管的管理配置器服務。

該公司表示：「在解決方法到位後，將無法進行配置器管理的設定更改。」「如果需要更改，請按照以下說明還原解決方法，進行所需的更改，然後再次禁用，直到補丁可用為止。」

該公告是在vmware解決了esxi，workstation和fusion虛擬機器管理程式中的乙個嚴重漏洞之後的幾天，該漏洞可能被具有虛擬機器本地管理特權的惡意參與者利用，以在受影響的系統上執行**並提公升其特權（cve-2020- 4004和cve-2020-4005）。（歡迎**分享）