複数の VMware 製品にコマンドインジェクションの脆弱性

最終更新日: 2020/12/02

情報源

CISA Current Activity
VMware Releases Workarounds for CVE-2020-4006
https://us-cert.cisa.gov/ncas/current-activity/2020/11/23/vmware-releases-workarounds-cve-2020-4006

概要

複数の VMware 製品には、コマンドインジェクションの脆弱性があります。結果として、遠隔の第三者が任意のコマンドを実行する可能性があります。
対象となる製品は次のとおりです。

– VMware Workspace One Access (Access)
– VMware Workspace One Access Connector (Access Connector)
– VMware Identity Manager (vIDM)
– VMware Identity Manager Connector (vIDM Connector)
– VMware Cloud Foundation
– vRealize Suite Lifecycle Manager

2020年12月2日時点で、修正済みのバージョンは提供されていません。VMwareがこの問題に対する回避策に関する情報を提供しています。詳細は、VMwareの提供する情報を確認してください。

関連文書 (日本語)

JVN
複数の VMware 製品に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU97472624/

関連文書(英語)

VMware Security Advisories

VMSA-2020-0027.1
https://www.vmware.com/security/advisories/VMSA-2020-0027.html

CERT/CC

VMware Workspace ONE Access and related components are vulnerable to command injection
https://kb.cert.org/vuls/id/724367

 

引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-12-02」
https://www.jpcert.or.jp/wr/2020/wr204701.html