Múltiples vulnerabilidades de inyección de comandos y ejecución de código arbitrario en productos VMware

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos VMware, que permitirían a un atacante realizar inyección de comandos, ejecución de código arbitrario, obtener escalamiento de privilegios, entre otros.

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 2 (dos) de severidad “Alta” y 1 (una) de severidad “Media”. Las principales se detallan a continuación:

CVE-2022-31702, de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en la API REST de vRealize Network Insight (vRNI). Esto permitiría a un atacante con acceso de red no autenticado realizar inyección de comandos sin autenticación en el sistema afectado.

CVE-2022-31705, de severidad “Crítica”, con puntuación de 9.3. Esta vulnerabilidad se debe a una falla de escritura fuera de los límites existente en el controlador USB 2.0 (EHCI) de VMware ESXi, Workstation y Fusion. Esto permitiría a un atacante con privilegios administrativos locales dentro de una máquina virtual realizar ejecución de código arbitrario en el sistema anfitrión afectado.

CVE-2022-31703, de severidad “Alta”, con puntuación de 7.5. Esta vulnerabilidad se debe a una falla de seguridad de acceso a archivos existente en la API REST de vRealize Network Insight (vRNI). Un atacante con acceso de red podría aprovechar esta vulnerabilidad para leer archivos arbitrarios del sistema afectado.

Para visualizar la lista completa de las vulnerabilidades puede ingresar al siguiente enlace.

Los productos afectados son:

VMware ESXi
VMware Workstation Pro / Player (Workstation)
VMware Fusion Pro / Fusion (Fusion)

VMware Cloud Foundation

Puede acceder al listado completo de versiones de los productos afectados en los siguientes enlaces:

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:

Referencias: