Vulnérabilités dans le gestionnaire VMWare vRealize
Date de publication :
CVE-2021-22024[Score CVSS v3 : 7.5]
L'API de vRealize Operations Manager contient une vulnérabilité de lecture de fichier journal arbitraire. Un attaquant non authentifié ayant un accès réseau à l'API de vRealize Operations Manager peut être en mesure de lire n'importe quel fichier journal, ce qui entraîne la divulgation d'informations sensibles.
CVE-2021-22025[Score CVSS v3 :7.5]
L'API de vRealize Operations Manager contient une vulnérabilité de contrôle d'accès. Un attaquant non authentifié ayant un accès réseau à l'API de vRealize Operations Manager peut ajouter de nouveaux nœuds à un cluster vROps existant.
CVE-2021-22027[Score CVSS v3 : 7.5]
L'API de vRealize Operations Manager contient une vulnérabilité de type Server Side Request Forgery (CSRF) dans plusieurs points d'extrémité. Un attaquant non authentifié disposant d'un accès réseau à l'API de vRealize Operations Manager peut effectuer une attaque de type Server Side Request Forgery conduisant à la divulgation d'informations.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Atteinte à la confidentialité des données
- Exécution de commande logiciel
- Violation des politiques de sécurité
Criticité
- Scores CVSS v3 : 7.5 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- VMWare vRealize Operations Manager versions 7.5.0
- VMWare vRealize Operations Manager versions 8.0.0 - 8.0.1
- VMWare vRealize Operations Manager versions 8.1.0
- VMWare vRealize Operations Manager versions 8.2.0
- VMWare vRealize Operations Manager versions 8.3.0
- VMWare vRealize Operations Manager versions 8.4.0
- VMWare CLoud Foundation (vROps) versions 3.x
- VMWare CLoud Foundation (vROps) versions 4.x
- VMWare vRealize Suite Lifecycle Manager (vROps) versions 8.x
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
- Mettre à jour les logiciels impactées conformément aux instructions de VMWare.
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.