Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
VMware parchea tres vulnerabilidades durante el martes de parches de diciembre
27 de diciembre de 2022 - Equipo de Relaciones Públicas de TuxCare
VMware ha publicado parches para una serie de vulnerabilidades, incluido un fallo de escape de máquina virtual, CVE-2022-31705, que fue explotado durante el desafío de hacking GeekPwn 2022, como parte del martes de parches de este mes.
VMWare asignó una calificación de gravedad CVSS de 9,3/10 a esta vulnerabilidad y alertó de que un actor malicioso con derechos de administrador local en una máquina virtual podría aprovecharla para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host.
El fallo VM escape, documentado como CVE-2022-31705, fue explotado por el investigador de Ant Security Yuhao Jiang en sistemas que ejecutaban productos VMware Fusion, ESXi y Workstation totalmente parcheados.
"En ESXi, la explotación está contenida dentro del sandbox de VMX mientras que, en Workstation y Fusion, esto puede llevar a la ejecución de código en la máquina donde está instalado Workstation o Fusion", dijo VMware.
Mientras tanto, la actualización de seguridad crítica con una puntuación CVSS de 7,2 aborda dos vulnerabilidades (CVE-2022-31700, CVE-2022-31701) en VMware Workspace ONE Access and Identity Manager. CVE-2022-31700 es una vulnerabilidad RCE autenticada con una puntuación CVSS de 7,2, mientras que CVE-2022-31701 es un fallo de autenticación roto con una calificación de gravedad de 5,3.
Los productos afectados por la vulnerabilidad incluyen;
ESXi 8.0 (corregido en ESXi 8.0a-20842819) (corregido en ESXi 8.0a-20842819)
ESXi 7.0 (corregida en 7.0U3i-20842708) (corregida en 7.0U3i-20842708)
Fusion versión 12.x (corregido en 12.2.5)
16.x Workstation (corregido en 16.2.5)
Cloud Foundation 4.x/3.x (corregido en KB90336)
VMware también resolvió una vulnerabilidad de seguridad de inyección de comandos y traspaso de directorios, ambas rastreadas como CVE-2022-31702 31702, una vulnerabilidad de gravedad crítica (CVSS v3: 9,8) en la API REST vRNI de vRealize Network Insight versiones 6.2 a 6.7 que permite la inyección de comandos. Y CVE-2022-31703, un defecto de traspaso de directorios de gravedad baja (CVSS v3: 7,5) que permite a un actor de amenazas leer archivos arbitrarios del servidor.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.
