Une vulnérabilité dans le logiciel d’authentification VMWare pouvant permettre d’accéder aux données utilisateurs

Une vulnérabilité conduisant à une falsification de requête côté serveur (SSRF) a été détectée dans le logiciel d’authentification VMWare, qui fournit un accès conditionnel et une authentification unique aux applications mobiles « logiciel en tant que service » (SaaS), Internet et natives.

La vulnérabilité, suivie comme CVE-2021-22056, a reçu un score CVSS v.3.1 de 5.5 et pourrait permettre à un acteur malveillant d’accéder au réseau pour réaliser des requêtes HTTP arbitraires afin accéder aux données complètes. Cette faille pourrait conduire à une fuite de JWT, il s’agit de chaînes sécurisées d’URL conçues pour identifier un utilisateur, qui contiennent des données personnelles.

Elle peut également être exploitée pour réaliser des attaques par hameçonnage ciblées contre des organisations utilisant ces logiciels, l’attaquant ayant un accès complet aux systèmes vulnérables. Une seconde vulnérabilité a été découverte, suivie comme CVE-2021-22057 avec un score CVSS v3.1 de 6.6, qui affecte la double authentification de VMware Verify. WMWare a corrigé ces deux failles de sécurité dans la dernière version du logiciel de l’entreprise.

 

Source :SSRF vulnerability in VMWare authentication software could allow access to user data | The Daily Swig


Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

  • Contrôle des applications
  • Limitation de temps sur les divertissements et jeux
  • Budget temps accordé sur les divertissements et jeux
  • Rapports basiques sur l’utilisation du web
  • Blocage instantané

Et en plus en version Premium

  • Fonctions de filtrage Web
  • Recherche sécurisée
  • Localisation de l’enfant
  • Géorepérage
  • Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
Etats des lieux RGPD & CYBER
Analyse de risques, PIA, DPIA
FORMATEUR :
Sensibilisation / Formation des Dirigeants ;
Formation des informaticiens ;
Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
Mises en conformité RGPD ;
Expertises numériques (matérielles, logicielles et Internet) ;
Recherche de preuves / Forensic ;
Investigation numérique pénale ;
Mise en place de PSSI ;
Expertises de systèmes de Votes électroniques ;
Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
Expertises pénales, administratives et civiles ;
Expertises privées (collecte et rapport d’Expertise avant procès).

Denis JACOPINI - Expert informatique en Cybercriminalité et en Protection des Données

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer
EXPERTISES VOTES ELECTRONIQUES : Expertise de systèmes de vote électronique et d'élections par InternetMISE EN CONFORMITÉ RGPD & CYBER : Accompagnement de votre établissement à la démarche de mise en conformité avec le RGPD et en CYBERSÉCURITÉSPYDETECTION : Détection de logiciels espions dans les smartphones et les équipements numériquesFORMATIONS & SEMINAIRES RGPD & CYBERARNAQUES & PIRATAGES : Restez informé sur les techniques utilisées par les pirates informatiques

EXPERTISES NUMÉRIQUES est un service de Denis JACOPINI – LE NET EXPERT
Expert informatique spécialisé en Cybercriminalité et en Protection des Données
1, les Magnolias 84300 CAVAILLON
SIRET : 403 474 661 00028 – APE : 6209Z

Nous intervenons dans la France entière et à l’étranger
mais privilégions actuellement le travail à distance
depuis l’épidémie de COVID-19.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.