Fecha de publicaciĂłn: 03/08/2022
Importancia:
CrĂtica
Recursos afectados:
- VMware Workspace ONE Access (Access),
- VMware Workspace ONE Access Connector (Access Connector),
- VMware Identity Manager (vIDM),
- VMware Identity Manager Connector (vIDM Connector),
- VMware vRealize Automation (vRA),
- VMware Cloud Foundation,
- vRealize Suite Lifecycle Manager.
DescripciĂłn:
Se han publicado mĂșltiples vulnerabilidades en productos VMware que podrĂan permitir a un atacante obtener acceso de administrador, ejecutar cĂłdigo de forma remota, escalar privilegios, obtener acceso a archivos arbitrarios o inyectar cĂłdigo javascript.
SoluciĂłn:
Actualizar a la versiĂłn KB89096.
También hay disponibles algunas medidas de mitigación.
Detalle:
- Una vulnerabilidad de omisiĂłn de autenticaciĂłn podrĂa permitir a un atacante con acceso a la interfaz de usuario por red, obtener acceso de administrador sin necesidad de autenticarse. Se ha asignado el identificador CVE-2022-31656 para esta vulnerabilidad de severidad crĂtica.
Las vulnerabilidades de severidad alta, son del tipo:
- EjecuciĂłn remota de cĂłdigo por inyecciĂłn de JDBC. Se han asignado los identificadores CVE-2022-31658 y CVE-2022-31665 para estas vulnerabilidades.
- EjecuciĂłn remota de cĂłdigo por inyecciĂłn SQL. Se ha asignado el identificador CVE-2022-31659 para esta vulnerabilidad.
- Escalada de privilegios local. Se han asignado los identificadores CVE-2022-31660, CVE-2022-31661 y CVE-2022-31664 para estas vulnerabilidades.
El resto de vulnerabilidades, de severidad media, son del tipo:
- InyecciĂłn de URLs. Se ha asignado el identificador CVE-2022-31657 para esta vulnerabilidad.
- LimitaciĂłn incorrecta de la ruta a un directorio restringido. Se ha asignado el identificador CVE-2022-31662 para esta vulnerabilidad.
- Cross-site scripting (XSS). Se ha asignado el identificador CVE-2022-31663 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, VirtualizaciĂłn, VMware, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.