CVE-2021-22048

Опубликовано: 10 нояб. 2021

Источник: nvd

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

The vCenter Server contains a privilege escalation vulnerability in the IWA (Integrated Windows Authentication) authentication mechanism. A malicious actor with non-administrative access to vCenter Server may exploit this issue to elevate privileges to a higher privileged group.

Ссылки

http://packetstormsecurity.com/files/167733/VMware-Security-Advisory-2022-0025.2.html
Release Notes
Third Party Advisory
VDB Entry
http://packetstormsecurity.com/files/167795/VMware-Security-Advisory-2021-0025.3.html
Release Notes
Third Party Advisory
VDB Entry
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
Patch
Vendor Advisory
http://packetstormsecurity.com/files/167733/VMware-Security-Advisory-2022-0025.2.html
Release Notes
Third Party Advisory
VDB Entry
http://packetstormsecurity.com/files/167795/VMware-Security-Advisory-2021-0025.3.html
Release Notes
Third Party Advisory
VDB Entry
https://www.vmware.com/security/advisories/VMSA-2021-0025.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:vmware:cloud_foundation:*:*:*:*:*:*:*:*

Версия от 3.0 (включая) до 3.10.2.2 (включая)

cpe:2.3:a:vmware:cloud_foundation:*:*:*:*:*:*:*:*

Версия от 4.0 (включая) до 4.1.0.1 (включая)

cpe:2.3:a:vmware:vcenter_server:6.5:-:*:*:*:*:*:*

cpe:2.3:a:vmware:vcenter_server:6.7:-:*:*:*:*:*:*

cpe:2.3:a:vmware:vcenter_server:7.0:-:*:*:*:*:*:*

EPSS

Процентиль: 74%

0.00801

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

GHSA-mcvx-m9qp-9vfp

CVSS3: 8.8

github

больше 3 лет назад

BDU:2021-05720

CVSS3: 7.1

fstec

около 4 лет назад

Уязвимость реализации механизма IWA (Integrated Windows Authentication) программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server и VMware Cloud Foundation, позволяющая нарушителю повысить свои привилегии