CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

22/05/2018

Execució de codi arbitrari en Velocloud VMWare NSX SD-WAN

Es troba una vulnerabilitat en la interfície web del servei que permet execució de codi arbitrari sense autenticació prèvia

Risc: Alt

NSX SD-WAN wa un component inclòs en Velocloud VMWare per a la connexió de solucions en el núvol. Comporta una interfície web per a l’admistració dels serveis, la qual pateix d'aquesta vulnerabilitat.

Aquesta opció es troba deshabilitada per defecte i segons anuncia el fabricant ha d'emprar-se únicament en xarxes privades, a més han previst eliminar-la en futures versions del producte.

Les versions 3.x i 2.x de Velocloud solucionen aquesta fallada, si s'empra el servei afectat, s’ha d'actualitzar.

Com a mesura preventiva si s'és vulnerable, es recomana deshabilitar el servei fins a tindre l'oportunitat d'actualitzar.

Més informació

Sistemes Afectats:

VMWare SD-WAN Edge 1.x

Referències:

CVE-2018-6961

Solució:

Actualitzar a versions 2.x o 3.x de Velocloud VMWare SD-WAN Edge

Notes:

En cas de no poder actualitzar deshabilitar el servei web de manera preventiva.

Font: Hispasec - Una al día

CSIRT-CV