PT-2021-1987 · Vmware · Vsphere Replication
Egor Dimitrenko
·
Publicado
2021-02-11
·
Atualizado
2021-03-31
·
CVE-2021-21976
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
vSphere Replication, versões 6.5.x a 6.5.1.4
vSphere Replication, versões 8.1.x a 8.1.2.2
vSphere Replication, versões 8.2.x a 8.2.1.0
Versões do vSphere Replication 8.3.x a 8.3.1.1
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando pós-autenticação. Essa vulnerabilidade pode permitir que um usuário administrador autenticado execute código remotamente. A vulnerabilidade está associada à verificação insuficiente dos argumentos passados a um comando na página “Configuração de inicialização” da extensão VMware vSphere Replication para replicação assíncrona de máquinas virtuais.
Recomendações
Para o vSphere Replication versão 6.5.x, atualize para a versão 6.5.1.5 ou posterior.
Para o vSphere Replication versão 8.1.x, atualize para a versão 8.1.2.3 ou posterior.
Para o vSphere Replication versão 8.2.x, atualize para a versão 8.2.1.1 ou posterior.
Para o vSphere Replication versão 8.3.x, atualize para a versão 8.3.1.2 ou posterior.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vsphere Replication