VMware lanza correcciones que corrigen nuevos errores que afectan a múltiples productos

vmware

VMware entregó actualizaciones de seguridad el miércoles que abordan vulnerabilidades en varios productos que un atacante podría explotar para tomar el control de un sistema afectado.

Seis vulnerabilidades de seguridad (de CVE-2021-22022 a CVE-2021-22027, puntaje CVSS: 4.4 – 8.6) afectan las operaciones de VMware vRealize (antes de la versión 8.5.0), VMware Cloud Foundation (versiones 3.x y 4). x) y v Realize Suite Lifecycle Manager (versión 8.x), como se muestra a continuación:

  • CVE-2021-22022 (Puntuación CVSS: 4,4): cualquier vulnerabilidad al leer archivos en la API de vRealize Operations Manager que conduce a la divulgación de información
  • CVE-2021-22023 (Puntuación CVSS: 6,6) – Vulnerabilidad no segura de una referencia de objeto directo en la API de Realize Operations Manager, que permite a un atacante con acceso administrativo cambiar la información de otros usuarios y tomar el control de la cuenta.
  • CVE-2021-22024 (Puntuación CVSS: 7,5): cualquier vulnerabilidad al leer archivos de registro en la API de vRealize Operations Manager que resulte en la divulgación de información confidencial
  • CVE-2021-22025 (Puntuación CVSS: 8,6): vulnerabilidad de control de acceso corrupto en la API de vRealize Operations Manager que permite que un actor malicioso no autenticado agregue nuevos nodos a un clúster de vROps existente
  • CVE-2021-22026 y CVE-2021-22027 (Puntuación CVSS: 7,5): vulnerabilidad en la solicitud del lado del servidor para la conmutación por error de la API de vRealize Operations Manager

A Egor Dimitrenko de Positive Technologies (CVE-2021-22022 y CVE-2021-22023) y este códec de MoyunSec V-Lab (de CVE-2021-22024 a CVE-2021-22027) se les atribuye la notificación de las deficiencias.

VMware también lanzó parches para abordar una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) que afecta a VMware vRealize Log Insight y VMware Cloud Foundation, lo que da como resultado una validación de entrada de usuario incorrecta y permite que un adversario con privilegios de usuario inserte cargas de datos maliciosos a través de Log Insight. Interfaz de usuario que se activa cuando la víctima accede al enlace del panel de control compartido.

El error, al que se le asignó el identificador CVE-2021-22021, obtuvo una calificación de 6,5 en el sistema de calificación CVSS. Marcin Kot de Prevenity y Tran Viet Quang de Vantage Point Security fueron premiados por la detección independiente y el informe de vulnerabilidades.

Los parches también llegarán una semana después de que VMware corrigiera un error de denegación de servicio en su consola VMware Workspace ONE UEM (CVE-2021-22029, puntuación CVSS: 5.3) por parte de un actor con acceso a «/API/sistema/administradores/sesión» podría explotar la API para que no esté disponible debido a límites de velocidad incorrectos.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática