背景图片取自Milad Fakurian on Unsplash

VMware周二（6/18）修补了位于vCenter Server的3个安全漏洞，其中的CVE-2024-37079与CVE-2024-37080属于堆积溢出漏洞，可导致远程程序攻击，其CVSS风险评分高达9.8，另一个CVE-2024-37081则是本地端权限扩充漏洞，CVSS风险评分为7.8。

vCenter Server为VMware所开发的虚拟化管理软件，相关漏洞影响采用该软件的VMware vSphere与VMware Cloud Foundation。根据VMware的说明，vCenter Server在实现分布式运算环境/远程调用系统（DCE/RPC）协定时，出现了多个堆积溢出漏洞，将允许可借由网络存取vCenter Server的黑客发送特制封包来触发漏洞，进而导致远程程序攻击。

至于CVE-2024-37081则含有多个本地端权限扩张漏洞，源自于sudo的配置错误，将允许仅具备一般权限的本地端用户取得最高权限。

目前尚未发现上述漏洞遭到滥用，VMware督促用户应尽快修补。