Múltiples vulnerabilidades en productos VMware

Fecha de publicación: 03/08/2022

Importancia:
Crítica

Recursos afectados:

  • VMware Workspace ONE Access (Access),
  • VMware Workspace ONE Access Connector (Access Connector),
  • VMware Identity Manager (vIDM),
  • VMware Identity Manager Connector (vIDM Connector),
  • VMware vRealize Automation (vRA),
  • VMware Cloud Foundation,
  • vRealize Suite Lifecycle Manager.

Descripción:

Se han publicado múltiples vulnerabilidades en productos VMware que podrían permitir a un atacante obtener acceso de administrador, ejecutar código de forma remota, escalar privilegios, obtener acceso a archivos arbitrarios o inyectar código javascript.

Solución:

Actualizar a la versión KB89096.

También hay disponibles algunas medidas de mitigación.

Detalle:

  • Una vulnerabilidad de omisión de autenticación podría permitir a un atacante con acceso a la interfaz de usuario por red, obtener acceso de administrador sin necesidad de autenticarse. Se ha asignado el identificador CVE-2022-31656 para esta vulnerabilidad de severidad crítica.

Las vulnerabilidades de severidad alta, son del tipo:

  • Ejecución remota de código por inyección de JDBC. Se han asignado los identificadores CVE-2022-31658 y CVE-2022-31665 para estas vulnerabilidades.
  • Ejecución remota de código por inyección SQL. Se ha asignado el identificador CVE-2022-31659 para esta vulnerabilidad.
  • Escalada de privilegios local. Se han asignado los identificadores CVE-2022-31660, CVE-2022-31661 y CVE-2022-31664 para estas vulnerabilidades.

El resto de vulnerabilidades, de severidad media, son del tipo:

  • Inyección de URLs. Se ha asignado el identificador CVE-2022-31657 para esta vulnerabilidad.
  • Limitación incorrecta de la ruta a un directorio restringido. Se ha asignado el identificador CVE-2022-31662 para esta vulnerabilidad.
  • Cross-site scripting (XSS). Se ha asignado el identificador CVE-2022-31663 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Virtualización, VMware, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.