{ "document" : { "aggregate_severity" : { "text" : "mittel" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "VMware SD-WAN ist eine\r\nSoftware-Defined Wide Area Networking Lösung für Cloud-Dienste.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein Angreifer kann mehrere Schwachstellen in VMware SD-WAN ausnutzen, um beliebigen Code auszuführen, vertrauliche Informationen offenzulegen oder Sicherheitsmaßnahmen zu umgehen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Linux\n- MacOS X\n- Sonstiges\n- UNIX\n- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-0764 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0764.json" }, { "category" : "self", "summary" : "WID-SEC-2024-0764 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0764" }, { "category" : "external", "summary" : "VMware Security-announce VMSA-2024-0008 vom 2024-04-02", "url" : "https://www.vmware.com/security/advisories/VMSA-2024-0008.html" }, { "category" : "external", "summary" : "GitHub Advisory Database", "url" : "https://github.com/advisories/GHSA-238w-4442-vh7q" } ], "source_lang" : "en-US", "title" : "VMware SD-WAN: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2024-11-27T23:00:00.000+00:00", "generator" : { "date" : "2024-11-28T11:39:09.518+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.8" } }, "id" : "WID-SEC-W-2024-0764", "initial_release_date" : "2024-04-02T22:00:00.000+00:00", "revision_history" : [ { "date" : "2024-04-02T22:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2024-11-27T23:00:00.000+00:00", "number" : "2", "summary" : "Produktzuordnung überprüft" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "Edge <5.0.1", "product" : { "name" : "VMware SD-WAN Edge <5.0.1", "product_id" : "T033849" } }, { "category" : "product_version", "name" : "Edge 5.0.1", "product" : { "name" : "VMware SD-WAN Edge 5.0.1", "product_id" : "T033849-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:vmware:sd-wan:edge__5.0.1" } } }, { "category" : "product_version_range", "name" : "Edge <4.5.1", "product" : { "name" : "VMware SD-WAN Edge <4.5.1", "product_id" : "T033850" } }, { "category" : "product_version", "name" : "Edge 4.5.1", "product" : { "name" : "VMware SD-WAN Edge 4.5.1", "product_id" : "T033850-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:vmware:sd-wan:edge__4.5.1" } } }, { "category" : "product_version_range", "name" : "Orchestrator <5.0.1", "product" : { "name" : "VMware SD-WAN Orchestrator <5.0.1", "product_id" : "T033851" } }, { "category" : "product_version", "name" : "Orchestrator 5.0.1", "product" : { "name" : "VMware SD-WAN Orchestrator 5.0.1", "product_id" : "T033851-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:vmware:sd-wan:orchestrator__5.0.1" } } } ], "category" : "product_name", "name" : "SD-WAN" } ], "category" : "vendor", "name" : "VMware" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-22246", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in VMware SD-WAN. Dieser Fehler besteht in der Edge-Router-Benutzeroberfläche aufgrund einer Anfälligkeit für eine Command Injection. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Code auszuführen und die vollständige Kontrolle über den Router zu übernehmen." } ], "product_status" : { "known_affected" : [ "T033851", "T033849", "T033850" ] }, "release_date" : "2024-04-02T22:00:00.000+00:00", "title" : "CVE-2024-22246" }, { "cve" : "CVE-2024-22247", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in VMware SD-WAN. Dieser Fehler besteht aufgrund eines fehlenden Authentifizierungs- und Schutzmechanismus. Ein anonymer Angreifer mit physischem Zugriff kann diese Schwachstelle ausnutzen, um auf die BIOS-Konfiguration zuzugreifen und so die Sicherheitsmaßnahmen zu umgehen." } ], "product_status" : { "known_affected" : [ "T033851", "T033849", "T033850" ] }, "release_date" : "2024-04-02T22:00:00.000+00:00", "title" : "CVE-2024-22247" }, { "cve" : "CVE-2024-22248", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in VMware SD-WAN. Dieser Fehler besteht aufgrund einer Anfälligkeit für einen Open Redirect Angriff, der es ermöglicht einen Nutzer auf eine vom Angreifer kontrollierte Domain umzuleiten. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen offenzulegen. Eine erfolgreiche Ausnutzung erfordert eine Benutzerinteraktion." } ], "product_status" : { "known_affected" : [ "T033851", "T033849", "T033850" ] }, "release_date" : "2024-04-02T22:00:00.000+00:00", "title" : "CVE-2024-22248" } ] }