VMware ออกรายงานเกี่ยวกับช่องโหว่ Spring4Shell ของผลิตภัณฑ์ในกลุ่ม Tanzu โดยทางบริษัทยืนยันว่ามีผลิตภัณฑ์ได้รับผลกระทบจริง
สำหรับผลิตภัณฑ์ในกลุ่ม Tanzu ที่ได้รับผลกระทบคือ VMware Tanzu Application Service for VMs, VMware Tanzu Operations Manager และ VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) ซึ่งทางบริษัทยืนยันว่าถ้าสามารถเข้าถึงผลิตภัณฑ์ที่ได้รับผลกระทบของ VMware ก็สามารถเข้าควบคุมระบบเป้าหมายได้
ช่องโหว่ Spring4Shell (CVE-2022-22965) เป็นช่องโหว่บน Spring Framework ซึ่งเป็นเฟรมเวิร์คยอดนิยมของ Java ที่ยึดเครื่องได้โดยการเปิดทางผ่าาน HTTP request โดยช่องโหว่นี้กำหนดความร้ายแรงไว้ที่ 9.8
ตอนนี้ VMware ออกแพทซ์สำหรับผลิตภัณฑ์ที่ได้รับผลกระทบแล้ว คือ Tanzu Application Service for VMs (เวอร์ชัน 2.11 หรือใหม่กว่า), Tanzu Application Service (เวอร์ชัน 2.10) and Tanzu Operations Manager (เวอร์ชัน 2.8 หรือใหม่กว่า) ส่วน TKGI ยังไม่ออกมา
รายละเอียดเพิ่มเติมของแพทซ์และ workaround สามารถอ่านเพิ่มเติมได้จากหน้า Advisory ของ VMware
ที่มา - VMware, VentureBeat