PT-2020-3052 · Vmware · Vmware Cloud Director
Lukáš Václavík
+1
·
Publicado
2020-05-20
·
Atualizado
2021-12-13
·
CVE-2020-3956
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
VMware Cloud Director, versões 9.1.0.x a 9.1.0.3
VMware Cloud Director, versões 9.5.0.x a 9.5.0.5
Versões do VMware Cloud Director 9.7.0.x a 9.7.0.4
Versões do VMware Cloud Director 10.0.x a 10.0.0.1
Descrição
O problema está relacionado à neutralização insuficiente de elementos especiais em uma solicitação, o que pode levar à injeção de código. Um agente autenticado pode ser capaz de enviar tráfego malicioso ao VMware Cloud Director, resultando potencialmente na execução remota arbitrária de código. Isso pode ser explorado por meio das interfaces de usuário baseadas em HTML5 e Flex, da interface do API Explorer e do acesso à API.
Recomendações
Para as versões 9.1.0.x a 9.1.0.3, atualize para a versão 9.1.0.4 ou posterior.
Para as versões 9.5.0.x a 9.5.0.5, atualize para a versão 9.5.0.6 ou posterior.
Para as versões 9.7.0.x a 9.7.0.4, atualize para a versão 9.7.0.5 ou posterior.
Para as versões 10.0.x a 10.0.0.1, atualize para a versão 10.0.0.2 ou posterior.
Exploit
Correção
Special Elements Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vmware Cloud Director