Los fallos, identificados como CVE-2021-22002 (puntuación CVSS: 8,6) y CVE-2021-22003 (puntuación CVSS: 3,7), afectan a VMware Workspace One Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager.
CVE-2021-22002 se refiere a un problema con la forma en que VMware Workspace One Access y el Gestor de identidades permiten el acceso a la aplicación web “/cfg” y a los endpoints de diagnóstico a través del puerto 443 mediante la manipulación de una cabecera de host, lo que resulta en una llamada del servidor.
“Un actor malicioso con acceso al puerto 443 podría manipular las cabeceras del host para facilitar el acceso a la aplicación web /cfg. Asimismo, un actor malicioso podría acceder a los endpoints de diagnóstico /cfg sin autenticación”, afirma la compañía en su aviso.
VMware también ha abordado una vulnerabilidad de divulgación de información que afecta a VMware Workspace One Access and Identity Manager a través de una interfaz de inicio de sesión expuesta inadvertidamente en el puerto 7443. Un atacante con acceso a la red en el puerto 7443 podría llevar a cabo un ataque de fuerza bruta, que según la empresa “puede o no ser práctico en función de la configuración de la política de bloqueo y la complejidad de la contraseña de la cuenta objetivo”.
Para los clientes que no pueden actualizar a la última versión, VMware está ofreciendo un script de solución para CVE-2021-22002 que puede ser implementado de forma independiente sin necesidad de desconectar los dispositivos vRA. “La solución deshabilita la capacidad de resolver la página de configuración de vIDM. Este endpoint no se utiliza en los entornos vRA 7.6 y no causará ningún impacto en la funcionalidad”, dijo la compañía.