內容說明:
VMware Tools存在不當驗證(Improper Authentication)漏洞(CVE-2023-20867),允許已具VMware ESXi完整權限之攻擊者,利用此漏洞使VMware Tools無法驗證主機對虛擬機器(VM)的作業,進而達到於虛擬機器進行檔案傳輸或執行任意程式碼。
影響平台:
VMware Tools 12、11及10.3所有版本
處置建議:
官方已針對漏洞釋出修復更新,請更新至以下版本:
VMware Tools 12.2.5版本
參考資料:
1. https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass
2. https://www.vmware.com/security/advisories/VMSA-2023-0013.html
3. https://nvd.nist.gov/vuln/detail/CVE-2023-20867