Vulnérabilité dans des produits VMware

Date de publication :

Une vulnérabilité considérée comme importante a été découverte dans plusieurs produits VMware (Fusion, VMRC et Horizon Client). Elle peut permettre à un attaquant ayant des droits non privilégiés de provoquer une élévation de privilèges afin d’obtenir des droits d’utilisateur racine (root).

CVE-2020-3957 [Score CVSS v3 : 7.3] : Une vulnérabilité de type “Time-of-check Time-of-use” (TOCTOU) a été découverte dans VMware Fustion, VMRC et Horizon Client. Elle peut permettre à un attaquant ayant des droits non privilégiés de provoquer une élévation de privilèges afin d’obtenir des droits d’utilisateur racine (root) sur le système ou est installé Fusion, VRMC ou Horizon Client.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Elévation de privilèges

Criticité

    Score CVSS v3 : 7.3

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible

Composants vulnérables

    VMware Fusion 11.x avant la 11.5.5

    VMware Remote Console for Mac versions 11.x et antérieures

    VMware Horizon Client for Mac versions 5.x et antérieures

CVE

    CVE-2020-3957

    CVE-2020-3958

    CVE-2020-3959

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Un correctif est disponible pour VMware Fusion (version 11.5.5). Pour VMRC et Horizon Client, un correctif sera disponible à une date ultérieure.

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens