CVE-2023-20855

ALT: (8,8)

CVSS3: 7,7

VMware vRealize Orchestrator és vulnerable a un atac (XXE) d’injecció d’entitat externa XML en processar dades XML causat per un analitzador XML mal configurat. Mitjançant l’ús de contingut XML especialment dissenyat, un atacant remot autenticat podria explotar aquesta vulnerabilitat per llegir arxius arbitraris causant una denegació del servei, realitzar un atac SSRF o aconseguir altres impactes al sistema.

Sistemes Afectats

• VMware Cloud Foundation 4.0
• VMware vRealize Orchestrator 8.11
• VMware vRealize Automation 8.11

Remediació
Consulteu VMware Security Advisory VMSA-2023-0005 per obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://www.vmware.com/security/advisories/VMSA-2023-0005.html
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20855