Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

Un aviso de los investigadores de Zero Day Initiative ha alertado a VMware sobre cuatro vulnerabilidades en su producto VRealize Log Insight, dos de los cuales están calificadas como críticas.

CVE-2022-31706 (Puntuación CVSS 9.8), es una vulnerabilidad transversal de directorio, el cual al ser explotada un atacante no autenticado pude inyectar archivos en el sistema operativo de un dispositivo vulnerable, lo que lleva a la ejecución remota de código (RCE).

CVE-2022-31704 (Puntuación CVSS 9.8), es una vulnerabilidad de control de acceso roto, que permite a un atacante inyecte archivos en el sistema operativo y ejecutar código remoto (RCE).

CVE-2022-31710 (Puntuación CVSS 7.5), es una vulnerabilidad que permite a un atacante no autenticado pueda desencadenar de forma remota la deserialización de datos no confiables, lo que lleva a una denegación de servicio.

CVE-2022-31711 (Puntuación CVSS 5.3), es una vulnerabilidad moderada que permite a un atacante remoto recopilar la información de sesión y aplicación del objetivo sin autenticación.

Recursos afectados

Los sistemas afectados son todas las versiones de VMware VRealize Log Insight anterior a la versión 8.10.2

Solución

VMware VRealize Log Insight debe actualizarse a la versión 8.10.2

Recomendaciones

En caso de no poder actualizar a la versión 8.10.2 VMware recomienda soluciones alternativas que publicó en su sitio web para abordar las vulnerabilidades críticas.

Referencias

VMware lanza parches para vulnerabilidades críticas en vRealize Log Insight