Vulnérabilités dans des produits VMware

De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire, un déni de service, une atteinte à l'intégrité et à la confidentialité des données.

CVE-2020-3992 [Score CVSS v3 : 9.8] : Une vulnérabilité de type “use-after-free” a été découverte dans le composant OpenSLP utilisé dans VMware ESXi. Elle peut permettre à un attaquant distant ayant accès au port 427 d’une machine ESXi de provoquer une exécution de code arbitraire

CVE-2020-3993 [Score CVSS v3 : 7.5] : Une vulnérabilité a été découverte dans VMware NSX-T. Elle est due aux autorisations accordées à un hôte KVM pour télécharger et installer des paquets depuis un manager NSX. Un attaquant en position d’homme du milieu peut exploiter cette vulnérabilité afin de compromettre un noeud de transport.

CVE-2020-3994 [Score CVSS v3 : 7.5] : Une vulnérabilité pouvant conduire à une corruption de session a été découverte dans VMware vCenter Server. Elle est due à une non-vérification de certificat par la fonctionnalité de mise à jour de vCenter Server Appliance Management Interface. Un attaquant positionné entre vCenter Server et un dépôt de mise à jour peut exploiter cette vulnérabilité afin de provoquer une corruption de session lorsque  vCenter Server Appliance Management Interface est utilisé pour faire une mise à jour.