在网络安全公司Citadelo发布了一份关于潜在威胁的安全咨询警告后，VMware公司在其云服务交付平台上修补了一个严重的漏洞。

Citadelo表示，他们在4月1日对一家使用VMware Cloud Director的财富500强企业客户进行安全审计时发现了这个漏洞。该软件已被全球的企业和云服务供应商采用。

这家渗透测试公司将VMware Cloud Director的漏洞归因于该平台无法正确处理输入。VMware Cloud Director为自动化工具的托管、云迁移、虚拟数据中心管理和数据中心扩展提供便利。

Citadelo警告说，黑客可以利用cve -2020-3956这样的漏洞来执行执行代码执行攻击，并“从技术上”控制连接到给定基础设施的所有私有云。

该错误影响VMware Cloud Director 10.1.0及以下版本，以及vCloud Director 8x - 10x Linux设置和PhotonOS设备。

Citadelo补充道，网络犯罪分子利用这个漏洞的潜在后果可能包括:通过改变登录机制窃取证件，将组织管理员的特权升级为vCloud管理员，以及通过修改数据库篡改虚拟机。

作为对该漏洞的详尽分析的一部分，这家网络安全公司说，它可以阅读电子邮件、IP地址和其他机密客户数据，还可以访问包含密码散列(包括客户分配)的内部系统数据库。

作为回应，VMware将这个漏洞描述为“重要的”，并提供了补丁以及知识库中引用的解决方案。

云计算和虚拟化软件提供商承认，经过身份验证的参与者可能会将“恶意流量”路由到其云服务交付平台(之前称为vCloud Director)，从而触发任意远程代码的执行。

VMware指出，黑客可以通过基于Flex和html5的用户界面、API Explorer界面和API访问来利用VMware Cloud Director的漏洞。

在这个bug被发现后，该公司在4月3日对其进行了筛选和复制，并在4月30日发布了一个补丁。随后，VMware在5月份也做出了同样的披露，让VMware Cloud Director的用户能够及时对自己的构建进行补丁。最后，VMware在5月19日向客户发布了一份安全建议。