[Actualización 05/04/2021] Múltiples vulnerabilidades en productos VMware
Fecha de publicación
31/03/2021
Importancia
5 - Crítica
Recursos Afectados
- vRealize Operations Manager, versiones:
- 8.3.0;
- 8.2.0;
- 8.1.1, 8.1.0;
- 8.0.1, 8.0.0;
- 7.5.0;
- [Actualización 05/04/2021] 7.0.0.
- VMware Cloud Foundation (vROps), versiones:
- 4.x;
- 3.x.
- vRealize Suite Lifecycle Manager (vROps), versiones 8.x.
Descripción
Egor Dimitrenko, investigador de Positive Technologies, ha reportado 2 vulnerabilidades críticas a VMware, de tipos SSRF (Server Side Request Forgery) y escritura arbitraria de archivos.
Solución
Aplicar los siguientes parches, en función de la versión de producto afectada:
Detalle
- Un atacante, con acceso a la red, a la API de vRealize Operations Manager, podría realizar un ataque SSRF (Server Side Request Forgery) para robar credenciales administrativas. Se ha asignado el identificador CVE-2021-21975 para esta vulnerabilidad.
- Un atacante autenticado, con acceso a la red, a la API de vRealize Operations Manager, podría escribir archivos en ubicaciones arbitrarias en el sistema operativo subyacente photon. Se ha asignado el identificador CVE-2021-21983 para esta vulnerabilidad.
Listado de referencias
Etiquetas