CVE-2020-4006 | VMware命令注入漏洞通告
发布时间 2020-11-240x00 漏洞概述
CVE ID | CVE-2020-4006 | 时 间 | 2020-10-24 |
类 型 | 命令注入 | 等 级 | 严重 |
远程利用 | 是 | 影响范围 |
0x01 漏洞详情
2020年11月23日,VMware发布安全公告,其多个产品和组件的管理配置器中存在一个命令注入漏洞(CVE-2020-4006),其CVSS评分9.1。
具有管理配置器8443端口的网络访问权限并拥有管理配置器admin帐户和密码的攻击者可以利用此漏洞在系统上执行命令。
影响范围:
VMware Workspace One Access 20.10 (Linux)
VMware Workspace One Access 20.01 (Linux)
VMware Identity Manager 3.3.3 (Linux)
VMware Identity Manager 3.3.2 (Linux)
VMware Identity Manager 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
0x02 处置建议
目前VMware暂未发布相关补丁,建议参考临时修复指导手册尽快修复。
产品 | 版本 | 平台 | CVE ID | 修复版本 | 临时修复方法 |
Access | 20.10 | Linux | CVE-2020-4006 | 暂无补丁 | https://kb.vmware.com/s/article/81731 |
Access | 20.01 | Linux | CVE-2020-4006 | ||
vIDM | 3.3.3 | Linux | CVE-2020-4006 | ||
vIDM | 3.3.2 | Linux | CVE-2020-4006 | ||
vIDM | 3.3.1 | Linux | CVE-2020-4006 | ||
vIDM Connector | 3.3.3 | Windows | CVE-2020-4006 | ||
vIDM Connector | 3.3.2 | Linux | CVE-2020-4006 | ||
vIDM Connector | 3.3.2 | Windows | CVE-2020-4006 | ||
vIDM Connector | 3.3.1 | Linux | CVE-2020-4006 | ||
vIDM Connector | 3.3.1 | Windows | CVE-2020-4006 | ||
VMware Cloud Foundation(vIDM) | 4.x | Any | CVE-2020-4006 | ||
vRealize Suite Lifecycle Manager (vIDM) | 8.x | Any | CVE-2020-4006 |
0x03 参考链接
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
https://threatpost.com/vmware-zero-day-patch-pending/161523/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4006
0x04 时间线
2020-11-23 VMware发布安全公告
2020-11-24 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/