Inicio / Content / Boletín de INCIBE-CERT del 24-11-2020

Boletín de INCIBE-CERT del 24-11-2020

Vulnerabilidad de inyección de comandos en múltiples productos de VMware

Fecha de publicación: 
24/11/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • VMware Workspace One Access, versiones 20.01 y 20.10 en Linux;
  • VMware Identity Manager, versiones 3.3.1, 3.3.2 y 3.3.3 en Linux;
  • VMware Identity Manager Connector, versiones:
    • 3.3.2 y 3.3.1 en Linux;
    • [Actualización 04/12/2020] 3.3.3, 3.3.2, 3.3.1, 19.03.0.0 y 19.03.0.1 en Windows.
Descripción: 

[Actualización 04/12/2020] VMware ha sido informado por la National Security Agency sobre una vulnerabilidad alta de inyección de comandos que afecta a múltiples productos del fabricante.

Solución: 

Aplicar las medidas de workaround descritas en la sección Solution del artículo KB81731 publicado por VMware.

[Actualización 04/12/2020] Aplicar las medidas descritas en el artículo KB81754 para solucionar esta vulnerabilidad.

Detalle: 

Diversos productos de VMware contienen una vulnerabilidad de inyección de comandos en el configurador administrativo. Un atacante, con acceso de red al panel de configuración, en el puerto 8443 y una contraseña válida para la cuenta de administrador de dicho panel, podría ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente. Se ha asignado el identificador CVE-2020-4006 para esta vulnerabilidad.

Encuesta valoración