Vmware

VMware expédié mercredi mises à jour de sécurité pour remédier aux vulnérabilités de plusieurs produits qui pourraient être potentiellement exploitées par un attaquant pour prendre le contrôle d’un système affecté.

Les six faiblesses de sécurité (de CVE-2021-22022 à CVE-2021-22027, scores CVSS : 4,4 – 8,6) affectent VMware vRealize Operations (avant la version 8.5.0), VMware Cloud Foundation (versions 3.x et 4.x ) et vRealize Suite Lifecycle Manager (version 8.x), comme indiqué ci-dessous –

  • CVE-2021-22022 (score CVSS : 4,4) – Vulnérabilité de lecture de fichier arbitraire dans l’API vRealize Operations Manager, entraînant la divulgation d’informations
  • CVE-2021-22023 (score CVSS : 6,6) – Vulnérabilité de référence d’objet direct non sécurisée dans l’API vRealize Operations Manager, permettant à un attaquant disposant d’un accès administratif de modifier les informations d’autres utilisateurs et de prendre le contrôle d’un compte
  • CVE-2021-22024 (score CVSS : 7,5) – Vulnérabilité de lecture de fichier journal arbitraire dans l’API vRealize Operations Manager, entraînant la divulgation d’informations sensibles
  • CVE-2021-22025 (score CVSS : 8,6) – Vulnérabilité de contrôle d’accès brisée dans l’API vRealize Operations Manager, permettant à un acteur malveillant non authentifié d’ajouter de nouveaux nœuds au cluster vROps existant
  • CVE-2021-22026 et CVE-2021-22027 (score CVSS : 7,5) – Fruction Server Side Request Forgery dans l’API vRealize Operations Manager, entraînant la divulgation d’informations

Egor Dimitrenko de Positive Technologies (CVE-2021-22022 et CVE-2021-22023) et ce codecc de MoyunSec V-Lab (de CVE-2021-22024 à CVE-2021-22027) sont crédités d’avoir signalé les failles.

Équipes De Débordement De Pile

Par ailleurs, VMware a également publié des correctifs pour remédier à une vulnérabilité de script intersite (XSS) affectant VMware vRealize Log Insight et VMware Cloud Foundation qui découle d’un cas de validation incorrecte des entrées utilisateur, permettant à un adversaire doté de privilèges utilisateur d’injecter des charges utiles malveillantes via le Interface utilisateur de Log Insight exécutée lorsqu’une victime accède au lien du tableau de bord partagé.

La faille, à laquelle a été attribué l’identifiant CVE-2021-22021, a été noté 6,5 pour la gravité sur le système de notation CVSS. Marcin Kot de Prevenity et Tran Viet Quang de Vantage Point Security ont été crédités pour avoir découvert et signalé la vulnérabilité de manière indépendante.

Publicité

Les correctifs arrivent également une semaine après que VMware ait corrigé un bogue de déni de service dans sa console VMware Workspace ONE UEM (CVE-2021-22029, score CVSS : 5.3) qu’un acteur ayant accès à « /API/system/admins/session » pourrait abuser pour rendre l’API indisponible en raison d’une limitation de débit incorrecte.


Rate this post
Publicité
Article précédentQue sont les nanites extraterrestres dans Fortnite ?
Article suivantAprès la Gamescom, février 2022 semble être un mois chargé pour les sorties de jeux
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici