Ⅰ. 概要
VMware社の「VMware Carbon Black App Control」に、OS コマンド インジェクション、およびファイル アップロードの脆弱性が公表されました。
悪用された場合、リモートで不正にOSコマンドを実行されたり、不正なファイルをアップロードされコードを実行される恐れがあります。

影響：VMware App Control管理インターフェイスに対して特権を持つ攻撃者により、対象製品の管理下にある端末の、アプリケーション実行制御やアクセス制御を不正に操作される恐れがあります。

■対象製品とバージョン
・VMware Carbon Black App Control (AppC)　Windows版
バージョン　8.8系　8.8.2未満
8.7系　8.7.4未満
8.6系　8.6.6未満
8.5系　8.5.14未満

■CVE番号(CVSS v3.0 基本値)
・CVE-2022-22951 (9.1)　OSコマンドインジェクションの脆弱性
・CVE-2022-22952 (9.1)　ファイルアップロードの脆弱性

Ⅱ. 対策・回避策
本脆弱性に対する回避策はありません。「Ⅲ．参考情報」をご確認いただき、対策版の適用をご検討ください。

Ⅲ. 参考情報
・VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951,CVE-2022-22952)
https://www.vmware.com/security/advisories/VMSA-2022-0008.html

この投稿は 2022/03/25 5:47 AM に 一般 カテゴリーに公開されました。 この投稿へのコメントは RSS 2.0 フィードで購読することができます。 現在コメント、トラックバックともに受け付けておりません。