VMware ha lanzado un nuevo parche de seguridad que corrige muchas vulnerabilidades muy graves en cinco productos diferentes.

Dada la cantidad de productos afectados y el potencial destructivo de las vulnerabilidades, VMware instó a los usuarios a aplicar el parche sin demora.

Aquellos que no puedan instalar el parche de inmediato también pueden aplicar una solución alternativa para proteger sus terminales.

Ramificaciones graves

Con la última actualización, VMware corrigió una vulnerabilidad de ejecución remota de código de inyección de patrón del lado del servidor (CVE-2022-22954), dos vulnerabilidades de omisión de autenticación ACS OAuth2 (CVE-2022-22955, CVE -2022-22956) y dos vulnerabilidades de inyección remota de JDBC . vulnerabilidades de ejecución de código (CVE-2022-22957, CVE-2022-22958).

El mismo parche también corrige algunos errores menos peligrosos, incluidos CVE-2022-22959 (permite la falsificación de solicitudes entre sitios), CVE-2022-22960 (permite la elevación de privilegios), CVE-2022-22961 (permite el acceso a la información sin autorización ).

Los productos de VMware vulnerables a estas vulnerabilidades incluyen VMware Workspace ONE Access (Access), VMware Identity Manager (vIDM), VMware vRealize Automation (vRA), VMware Cloud Foundation y vRealize Suite Lifecycle Manager.

Las fallas son importantes y los usuarios deben darse prisa para aplicar la corrección:

«Esta vulnerabilidad crítica debe repararse o mitigarse de inmediato según las instrucciones de VMSA-2021-0011. Las ramificaciones de esta vulnerabilidad son graves», dijo VMware.

«Todos los entornos son diferentes, tienen diferente tolerancia al riesgo y tienen diferentes controles de seguridad y defensa en profundidad para mitigar el riesgo, por lo que los clientes deben tomar sus propias decisiones sobre cómo proceder. Sin embargo, dada la gravedad de la vulnerabilidad, recomendamos encarecidamente recomendar acción inmediata».

Actualmente no hay evidencia de que las fallas sean de naturaleza abusiva, pero ahora que la información está disponible, puede que solo sea cuestión de tiempo.

VMware agregó que cualquier usuario que no pueda corregir puede aplicar una solución alternativa, con más detalles en este enlace (se abre en una nueva pestaña).

«Las soluciones alternativas, si bien son prácticas, no eliminan las vulnerabilidades y pueden introducir complejidades adicionales que los parches no introducirían», advirtió la compañía. «Si bien la decisión de parchear o usar la solución alternativa es suya, VMware aún recomienda encarecidamente parchear como la forma más fácil y confiable de resolver este problema».

Vía: BleepingComputer (se abre en una nueva pestaña)

Share This