Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el dispositivo ACPI en VMware ESXi, Workstation y Fusion (CVE-2020-3981)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125 Lectura fuera de límites
Fecha de publicación:
20/10/2020
Última modificación:
21/07/2021

Descripción

VMware ESXi (versiones 7.0 anteriores a ESXi_7.0.1-0.0.16850804, versiones 6.7 anteriores a ESXi670-202008101-SG, versiones 6.5 anteriores a ESXi650-202007101-SG), Workstation (15.x), Fusion (11.x antes de 11.5.6), contienen una vulnerabilidad de lectura fuera de límites debido a un problema time-of-check time-of-use en el dispositivo ACPI. Un actor malicioso con acceso administrativo a una máquina virtual puede ser capaz de explotar este problema para filtrar la memoria del proceso vmx

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vmware:cloud_foundation:*:*:*:*:*:*:*:* 3.0 (incluyendo) 3.10.1 (excluyendo)
cpe:2.3:a:vmware:cloud_foundation:*:*:*:*:*:*:*:* 4.0 (incluyendo) 4.1 (excluyendo)
cpe:2.3:a:vmware:workstation:*:*:*:*:*:*:*:* 15.0.0 (incluyendo) 15.5.6 (incluyendo)
cpe:2.3:o:vmware:esxi:7.0.0:-:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:7.0.0:1.20.16321839:*:*:*:*:*:*
cpe:2.3:a:vmware:fusion:*:*:*:*:*:*:*:* 11.0 (incluyendo) 11.5.6 (excluyendo)
cpe:2.3:o:apple:mac_os_x:-:*:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:-:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:2:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:650-201701001:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:650-201703001:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:650-201703002:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:650-201704001:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:650-201707101:*:*:*:*:*:*
cpe:2.3:o:vmware:esxi:6.5:650-201707102:*:*:*:*:*:*


Referencias a soluciones, herramientas e información