Vulnérabilités dans le gestionnaire VMWare vRealize

Date de publication : 29/09/2022

CVE-2021-22024[Score CVSS v3 : 7.5]

L'API de vRealize Operations Manager contient une vulnérabilité de lecture de fichier journal arbitraire. Un attaquant non authentifié ayant un accès réseau à l'API de vRealize Operations Manager peut être en mesure de lire n'importe quel fichier journal, ce qui entraîne la divulgation d'informations sensibles.

CVE-2021-22025[Score CVSS v3 :7.5]

L'API de vRealize Operations Manager contient une vulnérabilité de contrôle d'accès. Un attaquant non authentifié ayant un accès réseau à l'API de vRealize Operations Manager peut ajouter de nouveaux nœuds à un cluster vROps existant.

CVE-2021-22027[Score CVSS v3 : 7.5]

L'API de vRealize Operations Manager contient une vulnérabilité de type Server Side Request Forgery (CSRF) dans plusieurs points d'extrémité. Un attaquant non authentifié disposant d'un accès réseau à l'API de vRealize Operations Manager peut effectuer une attaque de type Server Side Request Forgery conduisant à la divulgation d'informations.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Criticité

Scores CVSS v3 : 7.5 max

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

CVE

CVE-2021-22024

CVE-2021-22025

CVE-2021-22027

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour les logiciels impactées conformément aux instructions de VMWare.

Solution de contournement

Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Vulnérabilités dans le gestionnaire VMWare vRealize

Informations

Solutions ou recommandations

Liens