www.belgium.be Logo of the federal government

Critical vulnerability in VMware vCenter 6.7 and prior

Référence: 
Advisory #2020-011
Version: 
1
Logiciels concernés : 
VMware vCenter version 6.7 et antérieures
Type: 
Divulgation d'informations
CVE/CVSS: 

CVE-2020-3952 : CVSSv3 10.0

Date: 
21/04/2020

Sources

https://www.vmware.com/security/advisories/VMSA-2020-0006.html

https://my.vmware.com/web/vmware/details?productId=742&rPId=44888&downloadGroup=VC67U3F

Risques

Un attaquant ayant accès au réseau à un vmdir vulnérable peut exfiltrer des informations sensibles, ces données pouvant être utilisées pour compromettre le serveur vCenter ou d'autres services dépendants de vmdir comme mécanisme d'authentification.

Description

Tous les versions jusqu'à la version 6.7u3f de vCenter Server 6.7 embedded, et le Platform Service Controller ( PSC) externe sont impactées par cette vulnérabilité, y compris les systèmes mis à niveau à partir d'une version précédente comme 6.0 et 6.5. Seules les nouvelles installations de vCenter Server 6.7 ne sont pas affectées par cette vulnérabilité.

Actions recommandées

CERT.be conseille aux administrateurs de systèmes de mettre à jour les systèmes vulnérables à la dernière version disponible. Les correctifs sont disponibles sur le site de VMware.