Устаревший плагин аутентификации для VSphere, улучшенный плагин аутентификации (EAP), имеет две уязвимости, одну критическую, и должен быть отключен пользователями.
EAP обеспечивал аутентификацию Windows и поддержку смарт-карт на основе Windows, и VMware объявила о его устаревании в марте 2021 года.
Согласно предупреждению VMware, идентифицирована CVE-2024-22245 как критическая уязвимость с оценкой CVSS 9.6.
Вторая уязвимость, CVE-2024-22250, имеет оценку CVSS 7.8.
Баги были обнаружены и доложены Ceri Coburn из Pen Test Partners.
Компания VMware пояснила, почему EAP не будет обновляться – “чтобы использовать EAP, организации должны обойти важные функции безопасности в своих современных веб-браузерах, что не рекомендуется.”
Альтернативными методами аутентификации являются подключение к Active Directory через LDAPS, службы федерации Active Directory, Okta и Microsoft Entra ID.
Оригинальная новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/XCMK35Z2XBM2DBELZOONK6YOWQ.jpg "Испания надеется ввести регулирование ИИ во время чередующегося председательства в ЕС")
/cloudfront-us-east-2.images.arcpublishing.com/reuters/C3SUQYNCEVNY3DX6NZJC3PCWVM.jpg "ВТБ запустит цифровой банк в социальной сети ВКонтакте")
