安全專家警告，正在使用VMware Cloud Director的公有和私有云管理員應立即將修補一個高風險漏洞，因為黑客可利用該漏洞完全控制虛擬化云基礎架構。

 

該漏洞在5月份被爆出，VMware及時發布了針對漏洞的修復程序。VMware Cloud Director(以前稱為vCloud Director)是一個云服務交付平臺，允許云提供商，政府或大型企業創建，部署和管理虛擬數據中心。它提供了一個基于Web的管理界面以及API，客戶可以通過該API管理其虛擬云資源。

漏洞的跟蹤記錄為CVE-2020-3956，VMware在“通用漏洞評分系統(CVSS)”中對問題的評級為嚴重，并表示它可以導致任意遠程代碼執行。可以通過Cloud Director的基于HTML5和基于Flex的用戶界面以及其API Explorer界面和API訪問來利用漏洞。

漏洞使黑客能夠訪問系統的數據庫，可以在其中替換任何現有客戶或系統中特權最高的用戶的登錄憑據，從而可以訪問所有虛擬機和整個云環境。在更秘密的攻擊中，黑客可以使用漏洞提供的訪問權限來添加后門管理帳戶。

VMware建議用戶升級到該產品的10.0.0.2、9.7.0.5、9.5.0.6或9.1.0.4版本。目前，版本10.1.0不受影響。VMware還發布了手動解決方法，這些解決方法可應用于無法立即更新到新版本的部署。