CVE-2020-4006 | VMware命令注入漏洞通告

发布时间 2020-11-24

0x00 漏洞概述

CVE   ID

CVE-2020-4006

时    间

2020-10-24

类    型

命令注入

等    级

严重

远程利用

影响范围


 

0x01 漏洞详情

 

image.png

 

2020年11月23日,VMware发布安全公告,其多个产品和组件的管理配置器中存在一个命令注入漏洞(CVE-2020-4006),其CVSS评分9.1。

具有管理配置器8443端口的网络访问权限并拥有管理配置器admin帐户和密码的攻击者可以利用此漏洞在系统上执行命令。


影响范围:

VMware Workspace One Access 20.10 (Linux)

VMware Workspace One Access 20.01 (Linux)

VMware Identity Manager 3.3.3 (Linux)

VMware Identity Manager 3.3.2 (Linux)

VMware Identity Manager 3.3.1 (Linux)

VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)

VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

 

0x02 处置建议

目前VMware暂未发布相关补丁,建议参考临时修复指导手册尽快修复。

产品

版本

平台

CVE ID

修复版本

临时修复方法

Access

20.10

Linux

CVE-2020-4006

暂无补丁

https://kb.vmware.com/s/article/81731

Access

20.01

Linux

CVE-2020-4006

vIDM

3.3.3

Linux

CVE-2020-4006

vIDM

3.3.2

Linux

CVE-2020-4006

vIDM

3.3.1

Linux

CVE-2020-4006

vIDM Connector

3.3.3

Windows

CVE-2020-4006

vIDM Connector

3.3.2

Linux

CVE-2020-4006

vIDM Connector

3.3.2

Windows

CVE-2020-4006

vIDM Connector

3.3.1

Linux

CVE-2020-4006

vIDM Connector

3.3.1

Windows

CVE-2020-4006

VMware Cloud Foundation(vIDM)

4.x

Any

CVE-2020-4006

vRealize Suite Lifecycle Manager   (vIDM)

8.x

Any

CVE-2020-4006

 

 

0x03 参考链接

https://www.vmware.com/security/advisories/VMSA-2020-0027.html

https://threatpost.com/vmware-zero-day-patch-pending/161523/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4006

 

0x04 时间线

2020-11-23  VMware发布安全公告

2020-11-24  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png