Vulnerabilidad en VMware ESXi (CVE-2024-37085)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
25/06/2024
Última modificación:
08/08/2024
Descripción
VMware ESXi contiene una vulnerabilidad de omisión de autenticación. Un actor malicioso con suficientes permisos de Active Directory (AD) puede obtener acceso completo a un host ESXi que se configuró previamente para usar AD para la administración de usuarios https://blogs.vmware.com/vsphere/2012/09/joining-vsphere-hosts -to-active-directory.html recreando el grupo de AD configurado ('Administradores de ESXi' de forma predeterminada) después de eliminarlo de AD.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vmware:cloud_foundation:*:*:*:*:*:*:*:* | 4.0 (incluyendo) | 5.2 (incluyendo) |
| cpe:2.3:o:vmware:esxi:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:-:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:a:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:b:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:c:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:update_1:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:update_1a:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:update_1c:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:update_1d:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:update_2:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:update_2b:*:*:*:*:*:* | ||
| cpe:2.3:o:vmware:esxi:8.0:update_2c:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página