Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Komandoen injekzioa VMware NSX SD-WAN-en

Argitalpen data: 2018/05/16

Garrantzia: Handia

Kaltetutako baliabideak:

  • NSX SD-WAN Edge de VeloCloud V 3.x y 2.x

Azalpena:

Kritikotasun altuko ahultasun bat aurkitu da. Hori baliatuz erasotzaile batek komandoen injekzio bat egin lezake, sisteman autentifikatuta egon gabe ere, eta hortaz kode arbitrarioa exekuta lezake.

Konponbidea:

Kaltetutako produktuak 3.1.0 bertsiora eguneratzea:

Xehetasuna:

Brian Sullivan ikerlariak komandoen injekzio ahultasun bat aurkitu du IU web osagarri lokalean. Ahultasun hori baliatuz autentifikaziorik gabeko urruneko erasotzaile batek kode arbitrarioa exekuta lezake. Lehenetsitako osagai hori desaktibatuta dago eta ez litzateke aktibatu behar konfiantzazkoak ez diren sareetan.

Etiketak: Eguneraketa, VMware, Ahultasuna