A gigante da virtualização VMware lançou patches para quatro vulnerabilidades em seu produto vRealize Log Insight, duas das quais com classificação de gravidade “crítica”.
O par crítico é CVE-2022-31703 e CVE-2022-31704. A primeira é uma vulnerabilidade de travessia de diretório, enquanto a última é uma vulnerabilidade de controle de acesso quebrado. Ambos receberam uma pontuação de gravidade de 9.8 e permitem que os agentes de ameaças acessem recursos que, de outra forma, seriam inacessíveis.
“Um ator mal-intencionado não autenticado pode injetar arquivos no sistema operacional de um dispositivo afetado, o que pode resultar na execução remota de código”, explicou a VMware.
Dados confidenciais em risco
As outras duas falhas são CVE-2022-31710 e CVE-2022-31711. A primeira é uma vulnerabilidade de desserialização que permite que agentes de ameaças adulterem dados e lancem ataques de negação de serviço. Foi dada uma pontuação de gravidade de 7.5. O último é um bug de divulgação de informações com pontuação 5.3 que pode ser aproveitado para roubar dados confidenciais.
Para se proteger contra as falhas, os usuários são aconselhados a aplicar o patch imediatamente e trazer seus endpoints (abre em uma nova guia) para a versão 8.10.2. Aqueles que não podem aplicar o patch agora também podem aplicar a solução alternativa, para a qual as instruções podem ser encontradas SUA PARTICIPAÇÃO FAZ A DIFERENÇA (abre em uma nova guia) .
As falhas foram originalmente descobertas pela Zero Day Initiative, confirmou a publicação. Os membros do programa disseram que, até agora, não há evidências de que as falhas sejam abusadas na natureza.
“Não temos conhecimento de nenhum código de exploração público ou ataque ativo usando essa vulnerabilidade”, disse Dustin Childs, chefe de conscientização de ameaças da ZDI da Trend Micro. O registro . “Embora não tenhamos planos atuais de publicar provas de conceito para esse bug, nossa pesquisa em VMware e outras tecnologias de virtualização continua.”
O vRealize Log Insight é uma ferramenta de gerenciamento de log. Embora não seja tão popular quanto algumas das outras soluções da VMware, a presença da empresa nos setores público e privado provavelmente torna todos os seus produtos um alvo atraente para cibercriminosos em busca de vulnerabilidades.
via: O registro (abre em uma nova guia)