Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en vRealize Operations para Horizon Adapter de VMware

Fecha de publicación 20/02/2020
Importancia
5 - Crítica
Recursos Afectados

vRealize Operations para Horizon Adapter, versiones:

  • 6.6.x;
  • 6.7.x.
Descripción

Se han identificado 3 vulnerabilidades, de severidad crítica, alta y media, de ejecución remota de código, omisión de autenticación y divulgación de información, respectivamente.

Solución

Actualizar el producto afectado a las versiones:

Detalle
  • Un atacante remoto, no autenticado, que tenga acceso a la red de vRealize Operations, con Horizon Adapter en funcionamiento, podría ejecutar código arbitrario en vRealize Operations. Se ha asignado el identificador CVE-2020-3943 para esta vulnerabilidad.
  • Un atacante remoto, no autenticado, que tenga acceso a la red de vRealize Operations, con Horizon Adapter en funcionamiento, podría omitir la autenticación de Horizon Adapter, aprovechando una configuración inadecuada del repositorio de confianza (trust store) de entidades certificadoras. Se ha asignado el identificador CVE-2020-3944 para esta vulnerabilidad.

Se ha asignado el identificador CVE-2020-3945 para la vulnerabilidad de severidad media.

Encuesta valoración

Listado de referencias