Vulnérabilité dans la console Workspace de VMware

Risques

• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité

Criticité

• Score CVSS v3.1: 9.1

La faille est activement exploitée

• Non

Un correctif existe

• Oui

Une mesure de contournement existe

• Oui

Les vulnérabilités exploitées sont du type

• CWE-918 : Server-Side Request Forgery

Détails sur l’exploitation

• Vecteur d’attaque : Réseau
• Complexité de l’attaque : Faible
• Privilèges nécessaires pour réaliser l’attaque : Non
• Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
• L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Les versions suivantes sont concernées :

• VMware Workspace ONE UEM Console 2008
• VMware Workspace ONE UEM Console 2011
• VMware Workspace ONE UEM Console 2102
• VMware Workspace ONE UEM Console 2105

Les correctifs disponibles sont les suivants :

• Pour VMware Workspace ONE UEM Console 2008, mettre à jour vers la version 21.5.0.37
   
• Pour VMware Workspace ONE UEM Console 2011, mettre à jour vers la version 21.2.0.27
   
• Pour VMware Workspace ONE UEM Console 2102, mettre à jour vers la version 20.11.0.40
   
• Pour VMware Workspace ONE UEM Console 2105, mettre à jour vers la version 20.0.8.36

Des solutions de contournement existent pour chacune des versions impactées :

• la solution, pour l'ensemble des vulnérabilités de ce bulletin, est disponible ici :
  https://kb.vmware.com/s/article/87167