Идентификатор: BDU:2020-05436.
Наименование уязвимости: Уязвимость программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, платформы виртуализации VMware Cloud Foundation, консоли администрирования VMware Identity Manager, платформы администрирования приложений VMware Workspace One Access, связанная с недостаточной проверкой аргументов, передаваемых в команду, позволяющая нарушителю выполнить произвольные команды.
Описание уязвимости: Уязвимость программного средства управления жизненным циклом приложений vRealize Suite Lifecycle Manager, платформы виртуализации VMware Cloud Foundation, консоли администрирования VMware Identity Manager, платформы администрирования приложений VMware Workspace One Access, связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Уязвимое ПО: Сетевое программное средство VMware Inc. VMware Cloud Foundation 4.0 | Прикладное ПО информационных систем VMware Inc. Workspace One Access 20.01 | Прикладное ПО информационных систем VMware Inc. Workspace One Access 20.10 | Прикладное ПО информационных систем VMware Inc. Workspace One Access Connector 20.01.0.0 | Прикладное ПО информационных систем VMware Inc. Workspace One Access Connector 20.01.0.1 | Прикладное ПО информационных систем VMware Inc. Workspace One Access Connector 20.10 | Прикладное ПО информационных систем VMware Inc. Identity Manager 3.3.1 | Прикладное ПО информационных систем VMware Inc. Identity Manager 3.3.2 | Прикладное ПО информационных систем VMware Inc. Identity Manager 3.3.3 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.3.1 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.3.2 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.3.3 | Прикладное ПО информационных систем VMware Inc. Identity Manager Connector 3.32 | ПО виртуализации/ПО виртуального программно-аппаратного средства VMware Inc. vRealize Suite Lifecycle Manager 8.0 |
Наименование ОС и тип аппаратной платформы: Linux — | Windows — |
Дата выявления: 23.11.2020.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,9)
Возможные меры по устранению:
Использование рекомендаций:
https://kb.vmware.com/s/article/81754
https://www.vmware.com/security/advisories/VMSA-2020-0027.html.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-4006.
Тип ошибки CWE: CWE-77
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.anti-malware.ru/news/2020-11-24-114534/34325
https://itpro.ua/post/vmware_vypustila_vremennoe_ispravlenie_dlya_kriticheskoi_uyazvimosti_v_svoikh_produktakh
https://www.securitylab.ru/vulnerability/514305.php
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
https://kb.vmware.com/s/article/81754
https://xakep.ru/2020/12/07/vmware-0day/