VMware - CVE-2023-20855

Date de publication : 22/02/2023

Un défaut de configuration dans l’analyseur XML de vRealize Orchestrator permet à un attaquant authentifié, en menant une attaque XXE, d’accéder à des informations sensibles ou d’élever ses privilèges sur le système.

CVE-2023-20855

[Score CVSS v3.1: 8.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Atteinte à la confidentialité des données

Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-611: Improper Restriction of XML External Entity Reference

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau.
•   Complexité de l'attaque : Faible.
•   Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple.
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non.
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non.

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

VMware vRealize

Orchestrator versions 8.x antérieures à 8.11.1
Automation versions 8.x antérieures à 8.11.1
VMware Cloud Foundation (vRealize Automation) versions 4.x

Solutions ou recommandations

Mettre à jour VMware vRealize Ochestrator et Automation vers la version 8.11.1 ou ultérieure.
Appliquer le correctif KB90926 au logiciel VMware Cloud Foundation (vRealize Automation) versions 4.x.
Des informations complémentaires sont disponibles dans le bulletin de VMware.