Le géant de la technologie de virtualisation VMware a publié un correctif de sécurité majeur pour couvrir une vulnérabilité critique dans son produit Carbon Black App Control destiné aux entreprises.

VMware Carbon Black App Control est un produit de sécurité utilisé par les défenseurs de l'entreprise pour s'assurer que seuls les logiciels approuvés et de confiance sont autorisés à s'exécuter sur les systèmes et les terminaux critiques.

Un avis de gravité critique de VMware identifie la vulnérabilité comme CVE-2023-20858 et prévient que les pirates peuvent lancer des exploits d'injection pour obtenir un accès complet au système d'exploitation du serveur sous-jacent.

La vulnérabilité, qui porte un score de gravité CVSS de 9,1 sur 10, affecte les versions 8.7.x, 8.8.x et 8.9.x de App Control fonctionnant sur le système d'exploitation Windows de Microsoft.

La société a déclaré que le problème a été signalé en privé par Jari Jääskelä, un chercheur en sécurité actif sur la plateforme de primes aux bugs HackerOne.

VMware a également publié un avis de gravité importante dans son produit vRealize Orchestrator. Un acteur malveillant, disposant d'un accès non administratif à vRealize Orchestrator, peut être en mesure d'utiliser une entrée spécialement conçue pour contourner les restrictions d'analyse XML, ce qui lui permet d'accéder à des informations sensibles ou de procéder à une éventuelle élévation de privilèges.