Уязвимость BDU:2020-05436

Дата: 23.11.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-05436.

Наименование уязвимости: Уязвимость программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, платформы виртуализации VMware Cloud Foundation, консоли администрирования VMware Identity Manager, платформы администрирования приложений VMware Workspace One Access, связанная с недостаточной проверкой аргументов, передаваемых в команду, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, платформы виртуализации VMware Cloud Foundation, консоли администрирования VMware Identity Manager, платформы администрирования приложений VMware Workspace One Access, связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Уязвимое ПО: Сетевое программное средство VMware Inc. VMware Cloud Foundation 4.0 | Прикладное ПО информационных систем VMware Inc. Workspace One Access 20.01 | Прикладное ПО информационных систем VMware Inc. Workspace One Access 20.10 | Прикладное ПО информационных систем VMware Inc. Workspace One Access Connector 20.01.0.0 | Прикладное ПО информационных систем VMware Inc. Workspace One Access Connector 20.01.0.1 | Прикладное ПО информационных систем VMware Inc. Workspace One Access Connector 20.10 | Прикладное ПО информационных систем VMware Inc. Identity Manager 3.3.1 | Прикладное ПО информационных систем VMware Inc. Identity Manager 3.3.2 | Прикладное ПО информационных систем VMware Inc. Identity Manager 3.3.3 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.3.1 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.3.2 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.3.3 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.32 | ПО виртуализации/ПО виртуального программно-аппаратного средства VMware Inc. vRealize Suite Lifecycle Manager 8.0 |

Наименование ОС и тип аппаратной платформы: Linux — | Windows — |
Дата выявления: 23.11.2020.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,9)

Возможные меры по устранению:
Использование рекомендаций:
https://kb.vmware.com/s/article/81754
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-4006.

Тип ошибки CWE: CWE-77
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.anti-malware.ru/news/2020-11-24-114534/34325
https://itpro.ua/post/vmware_vypustila_vremennoe_ispravlenie_dlya_kriticheskoi_uyazvimosti_v_svoikh_produktakh
https://www.securitylab.ru/vulnerability/514305.php
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
https://kb.vmware.com/s/article/81754
https://xakep.ru/2020/12/07/vmware-0day/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.