Vulnérabilité dans VMware vCenter

Date de publication :

Une désérialisation de données consiste à extraire des données afin de reconstruire un objet. L'absence de vérification des données avant une désérialisation peut provoquer des modifications du dit objet.

CVE-2022-31680[Score CVSS v3.1:7.2]
Une désérialisation de données non sécurisée dans le PSC (Platform Services Controller) de vCenter Server permet à un attaquant, ayant un accès administrateur sur le serveur vCenter, d’exécuter du code arbitraire sur le système qui héberge celui-ci.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3.1: 7.2

La faille est activement exploitée

  • Non.

Un correctif existe

  • Oui.

Une mesure de contournement existe

  • Non.

La vulnérabilité exploitée est du type

CWE-502: Deserialization of Untrusted Data

Détails sur l’exploitation

  • Vecteur d’attaque : Réseau.
  • Complexité de l’attaque : Faible.
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégié.
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

  • VMware vCenter version 6.5 et les versions inférieures ayant un PSC externe.

Solutions ou recommandations

  • Mettre à jour vCenter vers la version 6.5 U3u ou vers une version supérieure.

  • Plus d’informations disponibles ici.

Liens