Vulnerabilidad de inyección de comandos en múltiples productos de VMware

Fecha de publicación 24/11/2020
Importancia
4 - Alta
Recursos Afectados
  • VMware Workspace One Access, versiones 20.01 y 20.10 en Linux;
  • VMware Identity Manager, versiones 3.3.1, 3.3.2 y 3.3.3 en Linux;
  • VMware Identity Manager Connector, versiones:
    • 3.3.2 y 3.3.1 en Linux;
    • [Actualización 04/12/2020] 3.3.3, 3.3.2, 3.3.1, 19.03.0.0 y 19.03.0.1 en Windows.
Descripción

[Actualización 04/12/2020] VMware ha sido informado por la National Security Agency sobre una vulnerabilidad alta de inyección de comandos que afecta a múltiples productos del fabricante.

Solución

Aplicar las medidas de workaround descritas en la sección Solution del artículo KB81731 publicado por VMware.

[Actualización 04/12/2020] Aplicar las medidas descritas en el artículo KB81754 para solucionar esta vulnerabilidad.

Detalle

Diversos productos de VMware contienen una vulnerabilidad de inyección de comandos en el configurador administrativo. Un atacante, con acceso de red al panel de configuración, en el puerto 8443 y una contraseña válida para la cuenta de administrador de dicho panel, podría ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente. Se ha asignado el identificador CVE-2020-4006 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
[Actualización 04/12/2020] VMSA-2020-0027
VMware Workspace One Access, VMware Identity Manager, VMware Identity Manager Connector Workaround Instructions for CVE-2020-4006 (81731)
VMware Workspace ONE Access and related components are vulnerable to command injection
Etiquetas