Vulnérabilité dans VMware vCenter

Date de publication :

Une désérialisation de données consiste à extraire des données afin de reconstruire un objet. L'absence de vérification des données avant une désérialisation peut provoquer des modifications du dit objet.

CVE-2022-31680[Score CVSS v3.1:7.2]

Une désérialisation de données non sécurisée dans le PSC (Platform Services Controller) de vCenter Server permet à un attaquant, ayant un accès administrateur sur le serveur vCenter, d’exécuter du code arbitraire sur le système qui héberge celui-ci.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 7.2

La faille est activement exploitée

    Non.

Un correctif existe

    Oui.

Une mesure de contournement existe

    Non.

La vulnérabilité exploitée est du type

CWE-502: Deserialization of Untrusted Data

Détails sur l’exploitation

    Vecteur d’attaque : Réseau.

    Complexité de l’attaque : Faible.

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur privilégié.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.

Composants vulnérables

    VMware vCenter version 6.5 et les versions inférieures ayant un PSC externe.

Solutions ou recommandations

  • Mettre à jour vCenter vers la version 6.5 U3u ou vers une version supérieure.

  • Plus d’informations disponibles ici.

Liens