背景圖片取自Milad Fakurian on Unsplash

VMware週二（6/18）修補了位於vCenter Server的3個安全漏洞，其中的CVE-2024-37079與CVE-2024-37080屬於堆積溢位漏洞，可導致遠端程式攻擊，其CVSS風險評分高達9.8，另一個CVE-2024-37081則是本地端權限擴充漏洞，CVSS風險評分為7.8。

vCenter Server為VMware所開發的虛擬化管理軟體，相關漏洞影響採用該軟體的VMware vSphere與VMware Cloud Foundation。根據VMware的說明，vCenter Server在實現分散式運算環境/遠端呼叫系統（DCE/RPC）協定時，出現了多個堆積溢位漏洞，將允許可藉由網路存取vCenter Server的駭客傳送特製封包來觸發漏洞，進而導致遠端程式攻擊。

至於CVE-2024-37081則含有多個本地端權限擴張漏洞，源自於sudo的配置錯誤，將允許僅具備一般權限的本地端用戶取得最高權限。

目前尚未發現上述漏洞遭到濫用，VMware督促用戶應儘快修補。