CERTFR-2024-AVI-0153_Multiples vulnerabilites dans les produits VMware
Publié le 21 février 2024 à 15h45 - Mis à jour le 21 février 2024 à 15h48
Objet : Multiples vulnérabilités dans les produits VMware
Référence : CERTFR-2024-AVI-0153
Risque(s)
- Contournement de la politique de sécurité
- Élévation de privilèges
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- VMware Enhanced Authentication Plug-in (EAP) toutes versions
- VMware Aria Operations versions 8.x antérieures à 8.16
- VMware Cloud Foundation versions 4.x et 5.x sans le correctif de sécurité KB92148
Résumé
De multiples vulnérabilités ont été découvertes dans les produits VMware. Elles permettent à un attaquant de provoquer un contournement de la politique de sécurité, une élévation de privilèges et une injection de requêtes illégitimes par rebond (CSRF).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
Bulletin de sécurité VMware VMSA-2024-0003 du 20 février 2024
https://www.vmware.com/security/advisories/VMSA-2024-0003.html
Bulletin de sécurité VMware VMSA-2024-0004 du 20 février 2024
https://www.vmware.com/security/advisories/VMSA-2024-0004.html
Référence CVE CVE-2024-22235
https://www.cve.org/CVERecord?id=CVE-2024-22235
Référence CVE CVE-2024-22245
https://www.cve.org/CVERecord?id=CVE-2024-22245
Référence CVE CVE-2024-22250
https://www.cve.org/CVERecord?id=CVE-2024-22250
Dernière version du document