Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01438

Опубликовано: 10 янв. 2022
Источник: fstec
CVSS3: 9.1
CVSS2: 8.3
EPSS Низкий

Описание

Уязвимость интерфейса администрирования сервера для управления приложениями VMware Carbon Black App Control связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем загрузки специально сформированного файла

Вендор

VMware Inc.

Наименование ПО

VMware Carbon Black App Control Server

Версия ПО

от 8.8.0 до 8.8.2 (VMware Carbon Black App Control Server)
от 8.7.0 до 8.7.4 (VMware Carbon Black App Control Server)
от 8.6.0 до 8.6.6 (VMware Carbon Black App Control Server)
от 8.5.0 до 8.5.14 (VMware Carbon Black App Control Server)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

1. Использование рекомендаций производителя:
https://www.vmware.com/security/advisories/VMSA-2022-0008.html
2. Компенсирующие меры:
- использование средств межсетевого экранирования для предотвращения доступа к интерфейсу администрирования;
- применение систем обнаружения и предотвращения вторжений для контроля доступа к интерфейсу сервера администрирования;
- использование средств антивирусной защиты для контроля обрабатываемых файлов.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00617
Низкий

9.1 Critical

CVSS3

8.3 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-22952

CVSS3: 9.1
nvd
почти 4 года назад

VMware Carbon Black App Control (8.5.x prior to 8.5.14, 8.6.x prior to 8.6.6, 8.7.x prior to 8.7.4 and 8.8.x prior to 8.8.2) contains a file upload vulnerability. A malicious actor with administrative access to the VMware App Control administration interface may be able to execute code on the Windows instance where AppC Server is installed by uploading a specially crafted file.

github логотип

GHSA-qvxw-xhgh-w34w

CVSS3: 9.1
github
почти 4 года назад

VMware Carbon Black App Control (8.5.x prior to 8.5.14, 8.6.x prior to 8.6.6, 8.7.x prior to 8.7.4 and 8.8.x prior to 8.8.2) contains a file upload vulnerability. A malicious actor with administrative access to the VMware App Control administration interface may be able to execute code on the Windows instance where AppC Server is installed by uploading a specially crafted file.

EPSS

Процентиль: 69%
0.00617
Низкий

9.1 Critical

CVSS3

8.3 High

CVSS2