VMware afslører 0-dagssårbarhed

Det anbefales at etablere en workaround, indtil patch foreligger.

VMware har afsløret, at der er en kritisk 0-dags sårbarhed i flere af VMware Workspace One-komponenter. Sårbarheden kan udnyttes af angribere til at afvikle kode på værtssystemerne. Det skriver Security Affairs.

En patch skulle være undervejs, men indtil da anbefaler VMware, at man implementerer en workaround for at forhindre udnyttelse af sårbarheden.

Følgende versioner er påvirket af sårbarheden:

  • VMware Workspace One Access 20.10 (Linux)
  • VMware Workspace One Access  20.01 (Linux)
  • VMware Identity Manager 3.3.1 up to 3.3.3 (Linux)
  • VMware Identity Manager Connector 3.3.2, 3.3.1 (Linux)
  • VMware Identity Manager Connector 3.3.3, 3.3.2, 3.3.1 (Windows)

Sårbarheden (CVE-2020-4006) har ikke fået nogen officiel score af National Vulnerability Database, men VMware har selv givet den vurderingen 9,1.

Links:

https://securityaffairs.co/wordpress/111355/security/vmware-cve-2020-4006-zero-day.html
https://www.vmware.com/security/advisories/VMSA-2020-0027.html
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-20204006