Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-5414

Vulnerabilidad en BOSH Director en un App Autoscaler en VMware Tanzu Application Service para VMs (CVE-2020-5414)

Tipo: 
Exposición de información a traves de archivos de log
Gravedad: 
Media
Fecha publicación : 
31/07/2020
Última modificación: 
04/08/2020
Descripción
VMware Tanzu Application Service para Máquinas Virtuales (versiones 2.7.x anteriores a 2.7.19, versiones 2.8.x anteriores a 2.8.13 y versiones 2.9.x anteriores a 2.9.7), contiene un App Autoscaler que registra la contraseña de administrador de UAA. Esta credencial es eliminada en VMware Tanzu Operations Manager; sin embargo, los registros no eliminados están disponibles para usuarios autenticados del BOSH Director. Esta credencial otorgaría privilegios administrativos a un usuario malicioso. Las mismas versiones de App Autoscaler también registran la contraseña de App Autoscaler Broker. Antes de las versiones más recientes de Operations Manager, esta credencial no fue eliminada de los registros. Esta credencial permite a un usuario malicioso crear, eliminar y modificar instancias de servicios de App Autoscaler. Operations Manager comenzó a eliminar esta credencial de los registros a partir de sus versiones 2.7.15, 2.8.6 y 2.9.1. Tome en cuenta que estos registros normalmente solo son visibles para los administradores y operadores de la fundación
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No disponible
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:vmware:tanzu_application_service_for_virtual_machines:*:*:*:*:*:*:*:*
  • cpe:2.3:a:vmware:operations_manager:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos