VMware ESXi/Workstation/Fusion vmxnet3 Virtual Network Adapter Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.2 | $0-$5k | 0.00 |
Eine Schwachstelle wurde in VMware ESXi, Workstation sowie Fusion - die betroffene Version ist nicht genau spezifiziert - (Virtualization Software) gefunden. Sie wurde als problematisch eingestuft. Davon betroffen ist eine unbekannte Funktion der Komponente vmxnet3 Virtual Network Adapter. Mit der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-787. Das hat Auswirkungen auf die Vertraulichkeit. CVE fasst zusammen:
VMware ESXi (6.7 before ESXi670-201904101-SG and 6.5 before ESXi650-201907101-SG), Workstation (15.x before 15.0.2), and Fusion (11.x before 11.0.2) contain a heap overflow vulnerability in the vmxnet3 virtual network adapter. A malicious actor with local access to a virtual machine with a vmxnet3 network adapter present may be able to read privileged information contained in physical memory.Die Schwachstelle wurde am 25.06.2020 (Website) veröffentlicht. Das Advisory kann von vmware.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 30.12.2019 als CVE-2020-3971 statt. Der Angriff muss lokal passieren. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade vermag dieses Problem zu beheben.
Schwachstellen ähnlicher Art sind dokumentiert unter 157244, 157245, 157273 und 157274.
Produkt
Typ
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv3
VulDB Meta Base Score: 4.4VulDB Meta Temp Score: 4.2
VulDB Base Score: 3.3
VulDB Temp Score: 3.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.5
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| 🔍 | 🔍 | 🔍 | 🔍 | 🔍 | 🔍 |
| Vector | Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
| unlock | unlock | unlock | unlock | unlock | unlock |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔒
Exploiting
Klasse: PufferüberlaufCWE: CWE-787
ATT&CK: Unbekannt
Lokal: Ja
Remote: Nein
Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | unlock | unlock | unlock | unlock |
|---|---|---|---|---|
| Heute | unlock | unlock | unlock | unlock |
Threat Intelligence
Bedrohungslage: 🔍Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Timeline
30.12.2019 CVE zugewiesen25.06.2020 Advisory veröffentlicht
26.06.2020 VulDB Eintrag erstellt
27.10.2020 VulDB letzte Aktualisierung
Quellen
Hersteller: https://www.vmware.com/Advisory: vmware.com
Status: Nicht definiert
Bestätigung: 🔒
CVE: CVE-2020-3971 (🔒)
scip Labs: https://www.scip.ch/?labs.20060413
Siehe auch: 🔒
Eintrag
Erstellt: 26.06.2020 13:02Aktualisierung: 27.10.2020 10:20
Anpassungen: (1) advisory_confirm_url
Komplett: 🔍
Kommentare
Want to stay up to date on a daily basis?
Enable the mail alert feature now!
Bisher keine Kommentare. Bitte loggen Sie sich ein, um kommentieren zu können.