Theo đó, lỗ hổng CVE-2024-37079 và CVE-2024-37080 được vá có điểm CVSS 9,8. Đây là các lỗ hổng tràn bộ nhớ heap trong quá trình triển khai giao thức DCE/RPC, có thể cho phép tin tặc có được quyền truy cập mạng vào máy chủ vCenter bằng cách gửi một gói mạng được thiết kế đặc biệt có khả năng dẫn đến thực thi mã từ xa.

Một lỗ hổng khác là CVE-2024-37081 (điểm CVSS: 7,8) là lỗ hổng leo thang đặc quyền cục bộ trong VMware vCenter, phát sinh do cấu hình sai sudo mà người dùng được xác thực có đặc quyền phi quản trị có thể khai thác để lấy quyền root.

Đây không phải là lần đầu tiên VMware giải quyết những thiếu sót trong việc triển khai giao thức DCE/RPC. Vào tháng 10/2023, nhà cung cấp dịch vụ ảo hóa thuộc sở hữu của Broadcom đã vá một lỗ hổng bảo mật quan trọng khác (CVE-2023-34048, điểm CVSS: 9,8). Lỗ hổng này cũng có thể bị lạm dụng để thực thi mã tùy ý từ xa.

Cả 3 lỗ hổng trên đều ảnh hưởng đến vCenter Server phiên bản 7.0 và 8.0, được VMware giải quyết trong các phiên bản 7.0 U3r, 8.0 U1e và 8.0 U2d.

Nhà phát hành khuyến nghị người dùng nên nhanh chóng cập nhật các bản vá mới để hạn chế nguy cơ bị tấn công từ các lỗ hổng còn tồn tại.