Критическая уязвимость в клиентском плагине VMware: новости взлома!

224

Устаревший плагин аутентификации для VSphere, улучшенный плагин аутентификации (EAP), имеет две уязвимости, одну критическую, и должен быть отключен пользователями.

EAP обеспечивал аутентификацию Windows и поддержку смарт-карт на основе Windows, и VMware объявила о его устаревании в марте 2021 года.

Согласно предупреждению VMware, идентифицирована CVE-2024-22245 как критическая уязвимость с оценкой CVSS 9.6.

Вторая уязвимость, CVE-2024-22250, имеет оценку CVSS 7.8.

Баги были обнаружены и доложены Ceri Coburn из Pen Test Partners.

Компания VMware пояснила, почему EAP не будет обновляться – “чтобы использовать EAP, организации должны обойти важные функции безопасности в своих современных веб-браузерах, что не рекомендуется.”

Альтернативными методами аутентификации являются подключение к Active Directory через LDAPS, службы федерации Active Directory, Okta и Microsoft Entra ID.
Оригинальная новость на сайте