Bereits im Oktober 2023 hatte VMware auf eine Sicherheitslücke mit dem VMSA-2023-0023 aufmerksam gemacht. VMware hat mit dem aktualisierter Hinweis bestätigt, dass der CVE-2023-34048 in freier Wildbahn ausgenutzt wird.
Die dringende Empfehlung ist, wenn nicht schon geschehen, ein Update auf eine der gepatchten Versionen 8.0U2, 8.0U1d oder 7.0U3o des VMware vCenter durchzuführen.
VMware vCenter Server Out-of-Bounds Write Vulnerability (CVE-2023-34048, Critical severity)
Ein bösartiger Angreifer mit Netzwerkzugriff auf vCenter Server kann einen Out-of-bounds-Schreibvorgang auslösen, der möglicherweise zur Remotecodeausführung führt. CVSSv3 base score 9.8
VMware vCenter Server Partial Information Disclosure Vulnerability (CVE-2023-34056, Moderate severity)
Ein Angreifer mit nicht-administrativen Rechten für vCenter Server kann dieses Problem ausnutzen, um auf nicht berechtigte Daten zuzugreifen. CVSSv3 base score 4.3
Um diese Schwachstellen zu beheben führen Sie die VMware vCenter Updates auf die Versionen 8.0U2, 8.0U1d oder 7.0U3o aus, wie sie in der Reaktionsmatrix unter dem folgenden Link aufgeführt werden.
https://www.vmware.com/security/advisories/VMSA-2023-0023.html