Vulnerabilidad en el puerto 443 en VMware Workspace ONE Access y Identity Manager (CVE-2021-22002)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
31/08/2021
Última modificación:
09/09/2021
Descripción
VMware Workspace ONE Access y Identity Manager, permiten el acceso a la aplicación web /cfg y a los endpoints de diagnóstico, en el puerto 8443, por medio del puerto 443 usando un encabezado de host personalizado. Un actor malicioso con acceso de red al puerto 443 podría manipular los encabezados de host para facilitar el acceso a la aplicación web /cfg, además, un actor malicioso podría acceder a los endpoints de diagnóstico /cfg sin autenticación
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:vmware:identity_manager:3.3.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:identity_manager:3.3.3:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:identity_manager:3.3.4:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:identity_manager:3.3.5:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:workspace_one_access:20.01:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:workspace_one_access:20.10:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:workspace_one_access:20.10.01:*:*:*:*:*:*:* | ||
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:cloud_foundation:4.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:cloud_foundation:4.0.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:cloud_foundation:4.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:cloud_foundation:4.1.0.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:cloud_foundation:4.2.1:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vrealize_suite_lifecycle_manager:8.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vrealize_suite_lifecycle_manager:8.0.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página