首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-4006 | VMware命令注入漏洞通告

發布時間 2020-11-24

0x00 漏洞概述

CVE   ID

CVE-2020-4006

時    間

2020-10-24

類    型

命令注入

等    級

嚴重

遠程利用

影響范圍


 

0x01 漏洞詳情

 

image.png

 

2020年11月23日,VMware發布安全公告,其多個產品和組件的管理配置器中存在一個命令注入漏洞(CVE-2020-4006),其CVSS評分9.1。

具有管理配置器8443端口的網絡訪問權限并擁有管理配置器admin帳戶和密碼的攻擊者可以利用此漏洞在系統上執行命令。


影響范圍:

VMware Workspace One Access 20.10 (Linux)

VMware Workspace One Access 20.01 (Linux)

VMware Identity Manager 3.3.3 (Linux)

VMware Identity Manager 3.3.2 (Linux)

VMware Identity Manager 3.3.1 (Linux)

VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)

VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

 

0x02 處置建議

目前VMware暫未發布相關補丁,建議參考臨時修復指導手冊盡快修復。

產品

版本

平臺

CVE ID

修復版本

臨時修復方法

Access

20.10

Linux

CVE-2020-4006

暫無補丁

https://kb.vmware.com/s/article/81731

Access

20.01

Linux

CVE-2020-4006

vIDM

3.3.3

Linux

CVE-2020-4006

vIDM

3.3.2

Linux

CVE-2020-4006

vIDM

3.3.1

Linux

CVE-2020-4006

vIDM Connector

3.3.3

Windows

CVE-2020-4006

vIDM Connector

3.3.2

Linux

CVE-2020-4006

vIDM Connector

3.3.2

Windows

CVE-2020-4006

vIDM Connector

3.3.1

Linux

CVE-2020-4006

vIDM Connector

3.3.1

Windows

CVE-2020-4006

VMware Cloud Foundation(vIDM)

4.x

Any

CVE-2020-4006

vRealize Suite Lifecycle Manager   (vIDM)

8.x

Any

CVE-2020-4006

 

 

0x03 參考鏈接

https://www.vmware.com/security/advisories/VMSA-2020-0027.html

https://threatpost.com/vmware-zero-day-patch-pending/161523/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4006

 

0x04 時間線

2020-11-23  VMware發布安全公告

2020-11-24  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇