Vulnérabilité sur VMware ESXi
Date de publication :
Une vulnérabilité importante a été corrigée dans VMware ESXi, un hyperviseur de niveau 1. Elle peut permettre à un attaquant d’injecter un script malveillant à distance.
CVE-2020-3955 [Score CVSS v3 : 8.3] : Lors de la consultation d’attributs de machines virtuelles, VMware ESXi ne neutralise pas correctement les scripts HTML. Un attaquant peut exploiter cette vulnérabilité afin de réaliser une attaque XSS de second ordre (Stored XSS).
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de script malveillant
Criticité
- Score CVSS v3 : 8.3
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible pour l’instant
Composants vulnérables
- VMware ESXi versions 6.5 et 6.7
CVE
- CVE-2020-3955
Solutions ou recommandations
Mise en place de correctifs de sécurité
Appliquer les correctifs de sécurité fournis par l’éditeur :
pour la version 6.5 : correctif ESXi650-201912104-SG
pour la version 6.7 : correctif ESXi670-202004103-SG
Solution de contournement
Aucune solution de contournement n’est disponible