VMWARE Avisos VMSA-2020-0016

Julio 8, 2020

VMWARE Avisos VMSA-2020-0016

D de aviso:VMSA-2020-0016

Rango CVSSv3:8.5

CVE (s):CVE-2020-3973

Sinopsis:

Las actualizaciones de VMware SD-WAN by VeloCloud abordan la vulnerabilidad de inyección SQL

(CVE-2020-3973)

1. Productos impactados

VMware SD-WAN de VeloCloud (VeloCloud)

2. Introducción

Una vulnerabilidad de inyección SQL en VeloCloud se informó de manera privada a VMware. Hay parches disponibles para remediar esta vulnerabilidad en los productos VMware afectados. Los orquestadores VeloCloud alojados en VMware han sido parcheados para este problema.

3a. Detalles de asesoramiento

Descripción

VeloCloud Orchestrator no aplica la validación de entrada correcta que permite la inyección ciega de SQL. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad importante con un puntaje base CVSSv3 máximo de 8.5.

Vendedores de ataque conocidos

Un actor malicioso con acceso de inquilino a Velocloud Orchestrator podría ingresar consultas SQL especialmente diseñadas y obtener datos para los que no tiene privilegios.

Resolución

Para remediar CVE-2020-3973 aplique los parches enumerados en la columna ‘Versión fija’ de la ‘Matriz de respuestas’ que se encuentra a continuación.

Soluciones alternativas

Ninguna.

Documentación adicional

Ninguna.

Notas

Ninguna.

Agradecimientos

VMware desea agradecer al Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y a Olivier Houssenbay de ON-X Securité por informarnos de este problema de forma independiente.

Matriz de respuesta

Producto	Versión	Que se ejecuta en	Identificador de CVE	CVSSv3	Gravedad	Versión fija	Soluciones alternativas	Documentación adicional
Orquestador VeloCloud	3.x	Linux	CVE-2020-3973	8.5	Importante	3.3.2 p2, 3.4.1 y superior, o aplique un parche a 3.2.2, 3.3.1, 3.3.2 o 3.4.0 (póngase en contacto con el soporte técnico de VMware para obtener el parche o la versión requerida)	Ninguna	Ninguna