O Cloud Director é uma plataforma de serviços em nuvem, e esta falha que foi descoberta permitia ao atacante aceder a dados sensíveis e controlar clouds privadas dentro da infraestrutura.

A esta falha foi atribuído o CVE-2020-3956, tratando-se de um caso clássico de injeção de código.

Versões e produtos afetados:

VMware Cloud Director 10.1.0 e anteriores

vCloud Director 8x – 10x em configurações Linux e dispositivos PhotonOS

Impacto da falha: - Acesso a informação sensível da base de dados do sistema

- Modificação da base de dados para aceder a máquinas virtuais atribuídas a diferentes organizações

- Elevação de privilégios de um administrador da organização para um administrador de sistema, com acesso a todas as contas da cloud

- Mudança da página de login do Cloud Director

- Acesso a outros dados sensíveis como nomes completos dos clientes, endereços de email e endereços IP

Mais informações: https://securityboulevard.com/2020/06/vmware-vcenter-takeover-via-vcloud-director-cve-2020-3956-filed-by-citadelo-on-june-1st-2020/