Устаревший плагин аутентификации для VSphere, улучшенный плагин аутентификации (EAP), имеет две уязвимости, одну критическую, и должен быть отключен пользователями.
EAP обеспечивал аутентификацию Windows и поддержку смарт-карт на основе Windows, и VMware объявила о его устаревании в марте 2021 года.
Согласно предупреждению VMware, идентифицирована CVE-2024-22245 как критическая уязвимость с оценкой CVSS 9.6.
Вторая уязвимость, CVE-2024-22250, имеет оценку CVSS 7.8.
Баги были обнаружены и доложены Ceri Coburn из Pen Test Partners.
Компания VMware пояснила, почему EAP не будет обновляться – “чтобы использовать EAP, организации должны обойти важные функции безопасности в своих современных веб-браузерах, что не рекомендуется.”
Альтернативными методами аутентификации являются подключение к Active Directory через LDAPS, службы федерации Active Directory, Okta и Microsoft Entra ID.
Оригинальная новость на сайте