Vulnérabilité dans des produits VMware
Date de publication :
Une vulnérabilité considérée comme importante a été découverte dans plusieurs produits VMware (Fusion, VMRC et Horizon Client). Elle peut permettre à un attaquant ayant des droits non privilégiés de provoquer une élévation de privilèges afin d’obtenir des droits d’utilisateur racine (root).
CVE-2020-3957 [Score CVSS v3 : 7.3] : Une vulnérabilité de type “Time-of-check Time-of-use” (TOCTOU) a été découverte dans VMware Fustion, VMRC et Horizon Client. Elle peut permettre à un attaquant ayant des droits non privilégiés de provoquer une élévation de privilèges afin d’obtenir des droits d’utilisateur racine (root) sur le système ou est installé Fusion, VRMC ou Horizon Client.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Elévation de privilèges
Criticité
- Score CVSS v3 : 7.3
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible
Composants vulnérables
- VMware Fusion 11.x avant la 11.5.5
- VMware Remote Console for Mac versions 11.x et antérieures
- VMware Horizon Client for Mac versions 5.x et antérieures
CVE
- CVE-2020-3957
- CVE-2020-3958
- CVE-2020-3959
Solutions ou recommandations
Mise en place de correctifs de sécurité
Un correctif est disponible pour VMware Fusion (version 11.5.5). Pour VMRC et Horizon Client, un correctif sera disponible à une date ultérieure.
Solution de contournement
Aucune solution de contournement n’est disponible