El gigante de la virtualización VMware ha lanzado parches para cuatro vulnerabilidades en su producto vRealize Log Insight, dos de las cuales tienen una clasificación de gravedad "crítica".
El par crítico son CVE-2022-31703 y CVE-2022-31704. La primera es una vulnerabilidad de cruce de directorios, mientras que la segunda es una vulnerabilidad de control de acceso roto. A ambos se les otorgó una puntuación de gravedad de 9.8 y ambos permiten a los actores de amenazas acceder a recursos que de otro modo serían inaccesibles.
“Un actor malicioso no autenticado puede inyectar archivos en el sistema operativo de un dispositivo afectado, lo que puede resultar en la ejecución remota de código”, explicó VMware.
Datos confidenciales en riesgo
Los otros dos defectos son CVE-2022-31710 y CVE-2022-31711. La primera es una vulnerabilidad de deserialización que permite a los actores de amenazas manipular los datos y lanzar ataques de denegación de servicio. Se le ha dado una puntuación de gravedad de 7.5. Este último es un error de divulgación de información con una puntuación de 5.3 que se puede aprovechar para robar datos confidenciales.
Para protegerse contra las fallas, se recomienda a los usuarios que apliquen el parche de inmediato y traigan sus puntos finales (se abre en una pestaña nueva) a la versión 8.10.2. Aquellos que no pueden aplicar el parche en este momento también pueden aplicar la solución alternativa, para lo cual se pueden encontrar las instrucciones. esta página (se abre en una pestaña nueva) .
Las fallas fueron descubiertas originalmente por Zero Day Initiative, confirmó la publicación. Los miembros del programa dijeron que hasta el momento, no hay evidencia de que se abuse de las fallas en la naturaleza.
"No tenemos conocimiento de ningún código de explotación pública o ataques activos que utilicen esta vulnerabilidad", dijo Dustin Childs, jefe de concienciación sobre amenazas de ZDI de Trend Micro. El registro . “Si bien no tenemos planes actuales para publicar una prueba de concepto para este error, nuestra investigación en VMware y otras tecnologías de virtualización continúa”.
vRealize Log Insight es una herramienta de administración de registros. Aunque no es tan popular como algunas de las otras soluciones de VMware, la presencia de la empresa en los sectores público y privado probablemente hace que todos sus productos sean un objetivo atractivo para los ciberdelincuentes que buscan vulnerabilidades.
Vía: El registro (se abre en una pestaña nueva)
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba