Alertas

Inyección de código en VMware Cloud Director

Se publica una vulnerabilidad para VMWare Cloud Director[1] que explota un fallo en la gestión de inputs, permitiendo insertar código de forma remota.
03 Jun 2020
1 Minutos de lectura

 

ANÁLISIS

La vulnerabilidad, que ha sido catalogada como CVE-2020-3956, permite la ejecución de código remoto a traves de un mensaje preparado. Las versiones afectadas son las siguientes:

  • VMware Cloud Director 10.0.x hasta 10.0.0.2
  • VMware Cloud Director 9.7.0.x hasta 9.7.0.5
  • VMware Cloud Director 9.5.0.x hasta 9.5.0.6
  • VMware Cloud Director 9.1.0.x hasta 9.1.0.4

Dicha vulnerabilidad cuenta con una prueba de concepto [2]. Sin embargo, el proveedor ya ha publicado una actualización.

RECOMENDACIONES

Se recomienda aplicar la solución publicada por el proveedor, actualizando a las versiones 10.0.0.2, 9.7.0.5, 9.5.0.6 o 9.1.0.4.  

REFERENCIAS

[1] https://nvd.nist.gov/vuln/detail/CVE-2020-3956 [2] https://github.com/aaronsvk/CVE-2020-3956

232 visitas