Seguridad

VMware parchea fallos que afectaban a varios productos

VMware hace públicas actualizaciones de seguridad para solucionar las vulnerabilidades que presentaban varios de sus productos, pudiendo ser explotados por un atacante para tomar el control de un sistema.

Las seis vulnerabilidades se clasifican con los CVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026 y CVE-2021-22027, rondando una puntuación CVSS (Common Vulnerability Scoring System) entre 4,4 y 8,6. Estos afectan a VMware vRealize Operations anteriores a la version 8.5.0, VMware Could Foundation versiones 3.x y 4.x y vRealize Suite Lifecycle Manager versión 8.x.

La vulnerabilidad más crítica, clasificada como CVE-2021-22025, podría permitir un salto en las restricciones de seguridad a un atacante no autenticado. Por consiguiente, la CVE-2021-22027 permite falsificar solicitudes del lado del servidor en la API de vRealize, conduciendo a la divulgación de información.

Por otro lado, la filial de EMC Corporation también ha publicado parches para corregir una vulnerabilidad XSS que afectaba a otro de sus productos ( VMware vRealize Log Insight y VMware Cloud Foundation ). Este permite a un atacante con privilegios de usuario inyectar carga maliciosa a través de la interfaz de usuario de Log Insight, que se ejecuta cuando una víctima accede al enlace del panel compartido.

El fallo, al que se ha asignado el identificador CVE-2021-22021, ha recibido una calificación de 6,5 sobre 10 en el sistema de puntuación. Dos ingenieros de seguridad de Prevenity y de Vantage han sido acreditados por descubrir y reportar la vulnerabilidad.

Anteriormente, ya hemos hablado de este tipo de parches que han estado solucionando vulnerabilidades en otras versiones.

Más información:

https://thehackernews.com/2021/08/vmware-issues-patches-to-fix-new-flaws.html

https://www.vmware.com/security/advisories/VMSA-2021-0018.html

La entrada VMware parchea fallos que afectaban a varios productos se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.