Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de inyección de código en Cloud Director de VMware

Fecha de publicación 20/05/2020
Importancia
4 - Alta
Recursos Afectados

vCloudDirector, versiones:

  • 10.0.x, para Linux y PhotonOS appliance;
  • 9.7.x, para Linux y PhotonOS appliance;
  • 9.5.x, para Linux y PhotonOS appliance;
  • 9.1.x, para Linux.
Descripción

Dos investigadores de Citadelo han reportado a VMware una vulnerabilidad de criticidad alta del tipo inyección de código.

Solución

Actualizar las versiones afectadas de vCloud Director a las versiones:

  • 10.0.0.2,
  • 9.7.0.5,
  • 9.5.0.6,
  • 9.1.0.4.
Detalle

VMware Cloud Director no maneja adecuadamente las entradas, por lo que un atacante remoto podría realizar una inyección de código. Se ha reservado el identificador CVE-2020-3956 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
VMSA-2020-0010
Etiquetas