Home / Node / Vulnerabilidad de inyección de comandos en múltiples productos de VMware

Vulnerabilidad de inyección de comandos en múltiples productos de VMware

Publication date: 
11/24/2020
Importance: 
4 - Alta
Affected resources: 
  • VMware Workspace One Access, versiones 20.01 y 20.10 en Linux;
  • VMware Identity Manager, versiones 3.3.1, 3.3.2 y 3.3.3 en Linux;
  • VMware Identity Manager Connector, versiones:
    • 3.3.2 y 3.3.1 en Linux;
    • [Actualización 04/12/2020] 3.3.3, 3.3.2, 3.3.1, 19.03.0.0 y 19.03.0.1 en Windows.
Description: 

[Actualización 04/12/2020] VMware ha sido informado por la National Security Agency sobre una vulnerabilidad alta de inyección de comandos que afecta a múltiples productos del fabricante.

Solution: 

Aplicar las medidas de workaround descritas en la sección Solution del artículo KB81731 publicado por VMware.

[Actualización 04/12/2020] Aplicar las medidas descritas en el artículo KB81754 para solucionar esta vulnerabilidad.

Detail: 

Diversos productos de VMware contienen una vulnerabilidad de inyección de comandos en el configurador administrativo. Un atacante, con acceso de red al panel de configuración, en el puerto 8443 y una contraseña válida para la cuenta de administrador de dicho panel, podría ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente. Se ha asignado el identificador CVE-2020-4006 para esta vulnerabilidad.

Encuesta valoración

References: 
[Actualización 04/12/2020] VMSA-2020-0027
VMware Workspace One Access, VMware Identity Manager, VMware Identity Manager Connector Workaround Instructions for CVE-2020-4006 (81731)
VMware Workspace ONE Access and related components are vulnerable to command injection
Tags: 
Actualización
Linux
Virtualización
VMware
Vulnerabilidad
Windows