El gigante de la virtualización VMware ha lanzado parches para cuatro vulnerabilidades en su producto vRealize Log Insight, dos de las cuales tienen una clasificación de gravedad "crítica".
El par crítico son CVE-2022-31703 y CVE-2022-31704. La primera es una vulnerabilidad de cruce de directorios, mientras que la segunda es una vulnerabilidad de control de acceso roto. A ambos se les otorgó una puntuación de gravedad de 9.8 y ambos permiten a los actores de amenazas acceder a recursos que de otro modo serían inaccesibles.
“Un actor malicioso no autenticado puede inyectar archivos en el sistema operativo de un dispositivo afectado, lo que puede resultar en la ejecución remota de código”, explicó VMware.
Datos confidenciales en riesgo
Los otros dos defectos son CVE-2022-31710 y CVE-2022-31711. La primera es una vulnerabilidad de deserialización que permite a los actores de amenazas manipular los datos y lanzar ataques de denegación de servicio. Se le ha dado una puntuación de gravedad de 7.5. Este último es un error de divulgación de información con una puntuación de 5.3 que se puede aprovechar para robar datos confidenciales.
Para protegerse contra las fallas, se recomienda a los usuarios que apliquen el parche de inmediato y traigan sus puntos finales (se abre en una pestaña nueva) a la versión 8.10.2. Aquellos que no pueden aplicar el parche en este momento también pueden aplicar la solución alternativa, para lo cual se pueden encontrar las instrucciones. esta página (se abre en una pestaña nueva) .
Las fallas fueron descubiertas originalmente por Zero Day Initiative, confirmó la publicación. Los miembros del programa dijeron que hasta el momento, no hay evidencia de que se abuse de las fallas en la naturaleza.
"No tenemos conocimiento de ningún código de explotación pública o ataques activos que utilicen esta vulnerabilidad", dijo Dustin Childs, jefe de concienciación sobre amenazas de ZDI de Trend Micro. El registro . “Si bien no tenemos planes actuales para publicar una prueba de concepto para este error, nuestra investigación en VMware y otras tecnologías de virtualización continúa”.
vRealize Log Insight es una herramienta de administración de registros. Aunque no es tan popular como algunas de las otras soluciones de VMware, la presencia de la empresa en los sectores público y privado probablemente hace que todos sus productos sean un objetivo atractivo para los ciberdelincuentes que buscan vulnerabilidades.
Vía: El registro (se abre en una pestaña nueva)