Le vSphere Web Client de VMware présente des failles de sécurité qui pourraient permettre à des pirates d’accéder à des informations sensibles. Avec des versions actualisées de vSphere Server, le fabricant colmate les failles. La Software Cloud Foundation (vCenter Server) 3.x est également concernée. Selon le fabricant, une mise à jour est toutefois encore attendue.

La vulnérabilité la plus grave est celle qui permet au vSphere Web Client de lire des fichiers arbitraires sans autorisation (CVE-2021-21980). En conséquence, des attaquants pourraient obtenir des informations sensibles en accédant au port 443 du vCenter Server, explique VMware dans son message de sécurité. L’entreprise estime que le risque est élevé et lui attribue un score CVSS de 7,5.

Une autre faille à risque moyen se trouvait en outre dans le plug-in vSAN Web Client du vSphere Web Client (CVSS 6.5). Elle permettait à des utilisateurs malveillants de déclencher ce que l’on appelle une Server Side Request Forgery (SSRF). Un attaquant pouvait ainsi amener le serveur à envoyer des requêtes à d’autres systèmes (CVE-2021-22049). Les personnes intéressées trouveront plus de détails sur la SSRF au point 10 de l’article de fond sur les principaux risques selon le Top Ten OWASP 2021.

Mises à jour partiellement disponibles

Les failles affectent vCenter Server 6.5 et 6.7, pour lesquels les versions corrigées 6.5 U3r et 6.7 U3p sont disponibles. VMware les a mises en lien de téléchargement dans le message de sécurité ci-dessus. Pour Cloud Foundation (vCenter Server), également concerné, un patch est encore attendu.

Les administrateurs devraient installer rapidement les mises à jour proposées. Dès que les mises à jour de Cloud Foundation sont disponibles, il est également recommandé de les appliquer rapidement. Le cas échéant, il vaut également la peine de mettre à niveau vers Cloud Foundation 4.x, car cette version, tout comme vCenter Server 7.0, n’est pas concernée par les failles selon le fabricant.