VMware lanza parches para varias vulnerabilidades que afectan a distintos productos

El proveedor de servicios de virtualización VMware envió el martes actualizaciones para abordar 10 vulnerabilidades de seguridad que afectan a múltiples productos y que podrían ser abusados por atacantes no autenticados para realizar acciones maliciosas.

Los problemas, rastreados desde CVE-2022-31656 hasta CVE-2022-31665 (puntuación CVSS: 4.7 a 9.8), afectan a VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation y el Administrador de Ciclo de Vida de vRealize Suite.

La más grave de las vulnerabilidades es CVE-2022-31656 (puntaje CVSS: 9.8), una falla de omisión de autenticación que afecta a los usuarios del dominio local y que podría ser aprovechada por un mal actor con acceso a la red para obtener derechos administrativos.

VMware también resolvió tres vulnerabilidades de ejecución remota de código (CVE-2022-31658, CVE-2022-31659 y CVE-2022-31665) relacionadas con la inyección de JDBC y SQL que podría utilizar un adversario con accedo de administrador y de red.

También se corrigió una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) reflejada (CVE-2022-31663) que, según dijo la compañía, es el resultado de una desinfección inadecuada del usuario, lo que podría conducir a la activación de código JavaScript malicioso.

Para redondear los parches, existen tres errores de escalada de privilegios locales (CVE-2022-31660, CVE-2022-31661 y CVE-2022-31664) que permiten a un atacante con acceso local escalar privilegios a «root», una vulnerabilidad de inyección de URL (CVE-2022-31657) y un error de recorrido de ruta (CVE-2022-31662).

Aunque la explotación exitosa de CVE-2022-31657 hace posible redirigir a un usuario autenticado a un dominio arbitrario, CVE-2022-31662 podría equipar a un atacante para leer archivos de forma no autorizada.

VMware dijo que no está al tanto de la explotación de estas vulnerabilidades en la naturaleza, pero instó a los clientes que utilizan los productos vulnerables a aplicar los parches inmediatamente para mitigar las amenazas potenciales.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.