VMware Workspace ONE Access 命令注入漏洞(CVE-2020-4006)
2020年11月23日,VMware发布安全公告,其多个产品和组件的管理配置器中存在一个命令注入漏洞(CVE-2020-4006),其CVSS评分9.1。具有管理配置器8443端口的网络访问权限并拥有管理配置器admin帐户和密码的攻击者可以利用此漏洞在系统上执行命令。
详情见:https://attackerkb.com/topics/2DKGb1v8mA/cve-2020-4006
漏洞位于 /cfg/ssl/installSelfSignedCertificate TLS端口8443上的 “Appliance Configurator” 服务中的端点中,通过san参数在POST对端点的请求中指定恶意参数,可以执行任意shell命令。请注意该服务可能会重新启动。活动会记录在/opt/vmware/horizon/workspace/logs/configurator.log文件中。
ref: