Se han reportado 4 vulnerabilidades en productos de VMWare, 2 de severidad crítica y 2 altas.
Las vulnerabilidades críticas están identificadas como CVE-2024-22252 (CVSS 9.3) y CVE-2024-22253 (CVSS 9.3) que afecta al producto VMware ESXi, Workstation y Fusion y que podrían permitir a un actor malicioso con acceso local aprovechar esta vulnerabilidad del tipo use-after-free en el controlador USB UHCI, para ejecutar código como dentro del proceso VMX en la máquina virtual que se ejecuta en el host. En ESXi, la explotación está contenida dentro del entorno de seguridad del proceso VMX, mientras que en Workstation y Fusion, esto puede provocar la ejecución de código en la máquina donde está instalada Workstation o Fusion.
También, se han reportado vulnerabilidades de severidad alta identificadas como CVE-2024-22254 (CVSS 7.9) que podría permitir a un actor malicioso con privilegios dentro del proceso VMX, pueda desencadenar una escritura fuera de límites que conduzca a un escape del entorno limitado; y CVE-2024-22255 (CVSS 7.1): que afecta a VMware ESXi, Workstation y Fusion contiene una vulnerabilidad del tipo divulgación de información en el controlador USB UHCI, que podría permitir a un actor malicioso con acceso administrativo a una máquina virtual, aprovechar esta vulnerabilidad para extraer información de la memoria desde el proceso VMX.
Productos afectados:
- ESXi, versiones 7.0 y 8.0.
- Workstation Pro / Player, versiones 17.x.
- Fusion Pro / Fusion, versiones 13.x.
- Cloud Foundation, versiones 4.x y 5.x.
Recomendaciones:
Para mitigar estas vulnerabilidades, aplique los parches proveídos por el fabricante del producto afectado, para tener más detalles dirigirse a los enlaces proveídos en la sección de referencias.
Matriz de Productos afectados:
Referencias: