PT-2020-18466 · Vmware · Vmware Tanzu Application Service For Vms
Publicado
2020-07-31
·
Atualizado
2020-08-04
·
CVE-2020-5414
CVSS v2.0
6.0
Média
| Vetor | AV:N/AC:M/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
VMware Tanzu Application Service for VMs, versões anteriores à 2.7.19
VMware Tanzu Application Service for VMs, versões anteriores à 2.8.13
VMware Tanzu Application Service for VMs, versões anteriores à 2.9.7
Descrição
O problema diz respeito ao registro de credenciais confidenciais pelo App Autoscaler no VMware Tanzu Application Service for VMs. Especificamente, a senha de administrador do UAA e a senha do App Autoscaler Broker são registradas. Essas credenciais podem ser acessadas por usuários autenticados do BOSH Director e podem conceder privilégios administrativos ou permitir que usuários mal-intencionados criem, excluam e modifiquem instâncias de serviços do App Autoscaler. Os registros normalmente são visíveis apenas para administradores e operadores da fundação.
Recomendações
Para versões anteriores à 2.7.19, atualize para a versão 2.7.19 ou posterior para resolver o problema.
Para versões anteriores à 2.8.13, atualize para a versão 2.8.13 ou posterior para resolver o problema.
Para versões anteriores à 2.9.7, atualize para a versão 2.9.7 ou posterior para resolver o problema.
Correção
Insertion into Log File
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vmware Tanzu Application Service For Vms