CVE-2019-5544
CVE-2019-5544
En resumen
El software OpenSLP utilizado en ESXi y Horizon DaaS tiene una falla que permite a atacantes sobrescribir memoria en el heap, potencialmente tomando control completo del sistema. Esto es crítico porque puede conducir a acceso no autorizado y robo de datos.
Detalle técnico
Un desbordamiento de búfer en el heap de OpenSLP (CWE-787) permite a atacantes remotos sobrescribir memoria adyacente del heap sin autenticación. La vulnerabilidad permite la ejecución arbitraria de código con los privilegios del servicio afectado, impactando confidencialidad, integridad y disponibilidad de sistemas ESXi y Horizon DaaS.
Resumen generado y traducido por IA a partir de la descripción oficial.
OpenSLP as used in ESXi and the Horizon DaaS appliances has a heap overwrite issue. VMware has evaluated the severity of this issue to be in the Critical severity range with a maximum CVSSv3 base score of 9.8.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · ESXi and Horizon DaaSPoCs públicas encontradas — 2
githubgithub.com/dgh05t/VMware_ESXI_OpenSLP_PoCs★ 67githubgithub.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992★ 49⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://access.redhat.com/errata/RHSA-2019:4240https://access.redhat.com/errata/RHSA-2020:0199https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DA3LYAJ2NRKMOZLZOQNDJ5TNQRFMWGHF/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZPXXJZLPLAQULBCJVI5NNWZ3PGWXGXWG/https://security.gentoo.org/glsa/202005-12https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-5544http://www.openwall.com/lists/oss-security/2019/12/10/2http://www.openwall.com/lists/oss-security/2019/12/11/2http://www.vmware.com/security/advisories/VMSA-2019-0022.html