GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

CVE-2020-4006 | VMware号令注入缝隙公告

颁布功夫 2020-11-24

0x00 缝隙概述

CVE ID	CVE-2020-4006	时间	2020-10-24
类型	号令注入	等级	严沉
远程利用	是	影响领域

0x01 缝隙详情

2020年11月23日，VMware颁布安全布告，其多个产品和组件的治理配置器中存在一个号令注入缝隙（CVE-2020-4006），其CVSS评分9.1。

拥有治理配置器8443端口的网络接见权限并占有治理配置器admin帐户和密码的攻击者能够利用此缝隙在系统上执行号令。

影响领域：

VMware Workspace One Access 20.10 (Linux)

VMware Workspace One Access 20.01 (Linux)

VMware Identity Manager 3.3.3 (Linux)

VMware Identity Manager 3.3.2 (Linux)

VMware Identity Manager 3.3.1 (Linux)

VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)

VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

0x02 措置建议

目前VMware暂未颁布有关补丁，建议参考一时建复领导手册尽快建复。

产品	版本	平台	CVE ID	建复版本	一时建复步骤
Access	20.10	Linux	CVE-2020-4006	暂无补丁	https://kb.vmware.com/s/article/81731
Access	20.01	Linux	CVE-2020-4006
vIDM	3.3.3	Linux	CVE-2020-4006
vIDM	3.3.2	Linux	CVE-2020-4006
vIDM	3.3.1	Linux	CVE-2020-4006
vIDM Connector	3.3.3	Windows	CVE-2020-4006
vIDM Connector	3.3.2	Linux	CVE-2020-4006
vIDM Connector	3.3.2	Windows	CVE-2020-4006
vIDM Connector	3.3.1	Linux	CVE-2020-4006
vIDM Connector	3.3.1	Windows	CVE-2020-4006
VMware Cloud Foundation（vIDM）	4.x	Any	CVE-2020-4006
vRealize Suite Lifecycle Manager (vIDM)	8.x	Any	CVE-2020-4006

0x03 参考链接

https://www.vmware.com/security/advisories/VMSA-2020-0027.html

https://threatpost.com/vmware-zero-day-patch-pending/161523/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4006

0x04 功夫线

2020-11-23 VMware颁布安全布告

2020-11-24 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】