Vulnérabilité dans plusieurs produits VMWare
Date de publication :
CVE-2021-22002[Score CVSS v3 : 9.8 ]
Une vulnérabilité au sein de VMware Workspace ONE Access et VMWare Identity Manager. Son exploitation peut permettre à un attaquant distant et non authentifié d'accéder au répertoire /cfg de l'application web ainsi qu’aux terminaux de diagnostic, sur le port 8443, via le port 443 en utilisant un en-tête d'hôte personnalisé.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Risques
- Contournement d’authentification
- Atteinte à la confidentialité des données
- Atteinte à l’intégrité des données
- Atteinte à la disponibilité des données
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- VMware Workspace ONE Access 20.10
- VMware Workspace ONE Access 20.10.01
- VMWare Identity Manager version 3.3.2
- VMWare Identity Manager version 3.3.3
- VMWare Identity Manager version 3.3.4
- VMWare Identity Manager version 3.3.5
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les composants impactés conformément aux instructions de l’éditeur VMWare.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.