CVE-2020-4006

CVSS 9.1 CRITICALEPSS 23.8%● KEVCWE-78

Vexday Risk Score

63Prioridad alta

Decisión SSVC (CISA)

Act

Explotación + impacto → acción inmediata

CVSS 9.1EPSS 23.8%KEV simPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

23 nov 2020Publicada en NVD

03 nov 2021Explotación activa (CISA KEV)

Recomendación: Corregir cuanto antes — hay explotación activa confirmada.

En resumen

Una vulnerabilidad en VMware Workspace One y componentes relacionados permite a atacantes ejecutar comandos arbitrarios en el servidor afectado. Esto compromete completamente el sistema y sus datos.

Detalle técnico

Vulnerabilidad de inyección de comandos (CWE-78) en VMware Workspace One Access, Access Connector, Identity Manager e Identity Manager Connector. Un atacante puede inyectar comandos maliciosos a través de entrada de usuario que no es adecuadamente sanitizada antes de ser ejecutada. La explotación exitosa permite ejecución arbitraria de código con privilegios del servicio afectado.

Resumen generado y traducido por IA a partir de la descripción oficial.

VMware Workspace One Access, Access Connector, Identity Manager, and Identity Manager Connector address have a command injection vulnerability.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

Productos afectados

n/a · VMware Workspace One Access (Access), VMware Workspace One Access Connector (Access Connector), VMware Identity Manager (vIDM), VMware Identity Manager Connector (vIDM Connector), VMware Cloud Foundation, vRealize Suite Lifecycle Manager

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-4006 https://www.kb.cert.org/vuls/id/724367 https://www.vmware.com/security/advisories/VMSA-2020-0027.html