VMware a mis en ligne des mises à jour de sécurité pour plusieurs produits afin de corriger une vulnérabilité critique qui pourrait être exploitée pour accéder à des informations confidentielles. Les failles, répertoriées sous les noms de CVE-2021-22002 (score CVSS : 8,6) et CVE-2021-22003 (score CVSS : 3,7), affectent VMware Workspace One Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation et vRealize Suite Lifecycle Manager.

Concernant la vulnérabilité CVE-2021-22002, un acteur malveillant ayant un accès réseau au port 443 pourrait altérer les en-têtes d'hôte pour faciliter l'accès à l'application web /cfg. L’acteur malveillant pourrait également accéder aux terminaux de diagnostic /cfg sans authentification. Quant au CVE-2021-22003, une personne malintentionnée ayant accès réseau au port 7443 peut tenter d'énumérer les utilisateurs ou de forcer le point de connexion, ce qui peut être pratique ou non selon la configuration de la politique de verrouillage et la complexité du mot de passe du compte cible.

Il est recommandé de mettre à jour vos produits VMware immédiatement . En outre, pour les clients qui ne peuvent pas passer à la dernière version, VMware propose un script de contournement pour CVE-2021-22002 qui peut être déployé indépendamment, sans avoir à mettre les appliances vRA hors ligne. VMware a précisé que " La solution de contournement désactive la possibilité de résoudre la page de configuration de vIDM. Cette solution de contournement n'est pas utilisée dans les environnements vRA 7.6 et n'aura pas d'impact sur les fonctionnalités ".