Fecha de publicaciĂłn: 22/02/2023
Importancia:
CrĂtica
Recursos afectados:
- Carbon Black App Control, versiones:
- 8.9.x;
- 8.8.x;
- 8.7.x.
- vRealize Orchestrator, versiones 8.x.
- vRealize Automation, versiones 8.x.
- Cloud Foundation, versiones 4.x.
DescripciĂłn:
El investigador Jari JÀÀskelĂ€ (@JJaaskela) y la empresa IT.NRW han reportado 2 vulnerabilidades: 1 de severidad crĂtica y otra alta, respectivamente. La explotaciĂłn de estas vulnerabilidades podrĂa permitir a un atacante acceder al sistema operativo subyacente del servidor o a informaciĂłn sensible, asĂ como escalar privilegios.
SoluciĂłn:
Actualizar los productos afectados a las siguientes versiones:
- Carbon Black App Control:
- vRealize Orchestrator 8.11.1.
- vRealize Automation 8.11.1.
- Cloud Foundation KB90926.
Detalle:
- La vulnerabilidad crĂtica de inyecciĂłn podrĂa permitir a un atacante, con privilegios elevados y acceso a la consola de administraciĂłn de App Control, utilizar entradas especialmente diseñadas para acceder al sistema operativo del servidor. Se ha asignado el identificador CVE-2023-20858 para esta vulnerabilidad.
- La vulnerabilidad alta de XML External Entity (XXE) podrĂa permitir a un atacante, sin privilegios administrativos y con acceso a vRealize Orchestrator, usar entradas especialmente diseñadas para saltarse las restricciones de anĂĄlisis de XML, permitiendo el acceso a informaciĂłn sensible o una posible escalada de privilegios. Se ha asignado el identificador CVE-2023-20855 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, VirtualizaciĂłn, VMware, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.