VMware Tools存在安全漏洞(CVE-2023-20867)，允許已具VMware ESXi完整權限之攻擊者，於虛擬機器進行檔案傳輸或執行任意程式碼

內容說明：

VMware Tools存在不當驗證(Improper Authentication)漏洞(CVE-2023-20867)，允許已具VMware ESXi完整權限之攻擊者，利用此漏洞使VMware Tools無法驗證主機對虛擬機器(VM)的作業，進而達到於虛擬機器進行檔案傳輸或執行任意程式碼。

影響平台：

VMware Tools 12、11及10.3所有版本

處置建議：

官方已針對漏洞釋出修復更新，請更新至以下版本：
VMware Tools 12.2.5版本

參考資料：

1. https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass
2. https://www.vmware.com/security/advisories/VMSA-2023-0013.html
3. https://nvd.nist.gov/vuln/detail/CVE-2023-20867

ISDA 台灣資訊安全聯合發展協會

ISDA removes barriers in the way of security | Cybersecurity Education and Development

VMware Tools存在安全漏洞(CVE-2023-20867)，允許已具VMware ESXi完整權限之攻擊者，於虛擬機器進行檔案傳輸或執行任意程式碼

VMware Tools存在安全漏洞(CVE-2023-20867)，允許已具VMware ESXi完整權限之攻擊者，於虛擬機器進行檔案傳輸或執行任意程式碼