Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
VMware ESXi, Workstation y Fusion contienen una vulnerabilidad de escritura fuera de los límites en el controlador USB 2.0 EHCI. VMware evaluó la gravedad de este problema en el rango de severidad crítica con una puntuación de 9.3.
La vulnerabilidad identificada como CVE-2022-31705, permite a un actor malicioso con privilegios administrativos locales en una máquina virtual ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. En ESXi, la explotación está contenida dentro de la zona de pruebas de VMX, mientras que en Workstation y Fusion, esto puede conducir a la ejecución de código en la máquina donde está instalado Workstation o Fusion.
Recursos afectados
Las vulnerabilidades reportadas afectan a las siguientes versiones:
- VMware VRealize Network Insight: versiones 6.7, 6.6, 6.5.X, 6.4, 6.3 y 6.2
- VMware ESXi: versiones 8.0 y 7.0
- VMware ESXi Cloud Foundation: versiones 4.X y 3.X
- VMware Fusion: version 12.X en sistemas macOS
- VMware Workstation: versión 16.X
Solución
VMware ha publicado el parche correspondiente para corregir las vulnerabilidades en el producto afectado. A continuación, se adjunta un enlace que contienen las instrucciones correspondientes para actualizar a las versiones parcheadas:
- Download VMware vRealize Network Insight 6.8.
- Addressing CVE-2022-31702 and CVE-2022-31703 in vRNI On-Prem installations
- VMware ESXi 8.0a Release Notes
- VMware ESXi 7.0 Update 3i Release Notes
- Download VMware Fusion 12.2.5
- Download VMware Workstation Pro 16.2.5
Recomendaciones
Se recomienda actualizar los productos afectados debido al nivel de criticidad que tiene esta vulnerabilidad, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Referencias
Actulalización de seguridad crítica para productos VMware