Vulnerabilidad en la función de actualización de la vCenter Server Appliance Management Interface en VMware vCenter Server (CVE-2020-3994)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
20/10/2020
Última modificación:
24/08/2021
Descripción
VMware vCenter Server (versiones 6.7 anteriores a 6.7u3, versiones 6.6 anteriores a 6.5u3k), contiene una vulnerabilidad de secuestro de sesión en la función de actualización de la vCenter Server Appliance Management Interface debido a la falta de comprobación del certificado. Un actor malicioso con posicionamiento de red entre vCenter Server y un repositorio de actualizaciones puede ser capaz de realizar un secuestro de sesión cuando la vCenter Server Appliance Management Interface es usado para descargar actualizaciones de vCenter
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:vmware:cloud_foundation:*:*:*:*:*:*:*:* | 3.0 (incluyendo) | 3.9 (excluyendo) |
cpe:2.3:a:vmware:vcenter_server:6.5:-:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:a:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:b:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:c:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:d:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:e:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:f:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:update1:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:update1b:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:update1c:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:update1d:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:update1e:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:update1g:*:*:*:*:*:* | ||
cpe:2.3:a:vmware:vcenter_server:6.5:update2:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página