CVE-2019-5544
CVE-2019-5544
Em resumo
O software OpenSLP usado em ESXi e Horizon DaaS tem uma falha que permite que atacantes sobrescrevam memória no heap, potencialmente tomando controle completo do sistema. Isso é crítico porque pode levar a acesso não autorizado e roubo de dados.
Detalhe técnico
Um estouro de buffer no heap do OpenSLP (CWE-787) permite que atacantes remotos sobrescrevam memória adjacente do heap sem autenticação. A vulnerabilidade permite execução arbitrária de código com os privilégios do serviço afetado, impactando confidencialidade, integridade e disponibilidade de sistemas ESXi e Horizon DaaS.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenSLP as used in ESXi and the Horizon DaaS appliances has a heap overwrite issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · ESXi and Horizon DaaSPoCs públicas encontradas — 2
githubgithub.com/dgh05t/VMware_ESXI_OpenSLP_PoCs★ 67githubgithub.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992★ 49⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://access.redhat.com/errata/RHSA-2019:4240https://access.redhat.com/errata/RHSA-2020:0199https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DA3LYAJ2NRKMOZLZOQNDJ5TNQRFMWGHF/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZPXXJZLPLAQULBCJVI5NNWZ3PGWXGXWG/https://security.gentoo.org/glsa/202005-12https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-5544http://www.openwall.com/lists/oss-security/2019/12/10/2http://www.openwall.com/lists/oss-security/2019/12/11/2http://www.vmware.com/security/advisories/VMSA-2019-0022.html