Vulnérabilités dans plusieurs produits VMware
Date de publication :
Deux vulnérabilités critiques dans les logiciels VMware Cloud Foundation, vRealize Operations Manager et vRealize Suite Lifecycle Manager ont été corrigées.
CVE-2021-21975 [Score CVSS v3 : 7.5] : Une vulnérabilité dans l'API de vRealize Operations Manager (CVE-2021-21975) a été corrigée. Son exploitation peut permettre à un attaquant ayant un accès réseau à l'API de vRealize Operations Manager d'effectuer une attaque de type Server Side Request Forgery pour voler des informations d'identification administratives.
CVE-2021-21983 [Score CVSS v3 : 6.5] : Une vulnérabilité dans l'API de vRealize Operations Manager a été corrigée. Son exploitation peut permettre à un attaquant authentifié et ayant un accès réseau à l'API de vRealize Operations Manager d'écrire des fichiers à des emplacements arbitraires sur le système d'exploitation sous-jacent.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Expositions d’identifiants de connexion
- Injection de fichiers arbitraires
Criticité
- Scores CVSS v3 : 6.5 ; 7.5
Existence d’un code d’exploitation
- Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
Les versions suivantes de VMware vRealize Operations Manager sont impactées par ces vulnérabilités :
- 7.0.0
- 7.5.0
- 8.0.0
- 8.0.1
- 8.1.0
- 8.1.1
- 8.2.0
- 8.3.0
Les versions suivantes de VMware Cloud Foundation sont impactées par ces vulnérabilités :
- 3.x
- 4.x
Les versions suivantes de VMware vRealize Suite Lifecycle Manager sont impactées par ces vulnérabilités :
- 8.x
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Appliquer le correctif de sécurité proposé par VMware.
Une matrice des correctifs à mettre en place selon le logiciel et ses versions est disponible en référence de ce bulletin.
Solution de contournement
Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.