Исправлена уязвимость в VMware Directory Service, позволявшая получить доступ ко всей корпоративной виртуальной инфраструктуре.

Уязвимость CVE-2020-3952 получила 10 баллов из 10 по системе оценивания опасности CVSS v.3.

Сервис VMware Directory Service (vmdir) является компонентом утилиты VMware vCenter Server, обеспечивающей централизованное управление виртуальными машинами и виртуальными хостами с одной консоли. С помощью технологии единого входа (single sign-on, SSO) администратор может управлять сотнями приложений.
VMware Directory Service является центральным компонентом vCenter SSO и используется также для управления сертификатами приложений, управляемых vCenter.

Злоумышленник, имеющий сетевой доступ в уязвимом развертывании vmdir, мог извлечь учетные данные администратора для взлома vCenter Server или других служб, которые зависят от vmdir для проверки подлинности.

Уязвимость затрагивает установки vCenter Server 6.7 до версии 6.7u3f, если они были обновлены с предыдущих веток 6.0 или 6.5. Проблема не затрагивает «чистые» установки vCenter Server 6.7.

Источник: https://www.vmware.com/security/advisories/VMSA-2020-0006.html