CSIRT Panamá Aviso 2022-08-04 VMware: Múltiples vulnerabilidades en productos VMware

Posted By: CSIRT Panamá August 4, 2022

Gravedad: Alta
Fecha de publicación: Agosto 4, 2022
Última revisión: Agosto 4, 2022
Sitio web: https://www.vmware.com/
Sistemas Afectados:

• VMware Workspace ONE Access (Access),
• VMware Workspace ONE Access Connector (Access Connector),
• VMware Identity Manager (vIDM),
• VMware Identity Manager Connector (vIDM Connector),
• VMware vRealize Automation (vRA),
• VMware Cloud Foundation,
• vRealize Suite Lifecycle Manager.

I. Descripción

Se han publicado múltiples vulnerabilidades en productos VMware que podrían permitir a un atacante obtener acceso de administrador, ejecutar código de forma remota, escalar privilegios, obtener acceso a archivos arbitrarios o inyectar código javascript.

II. Impacto

Vulnerabilidad CVE-2022-31656:

Una vulnerabilidad de omisión de autenticación podría permitir a un atacante con acceso a la interfaz de usuario por red, obtener acceso de administrador sin necesidad de autenticarse.

Vulnerabilidad 2022-31658 y CVE-2022-31665: Ejecución remota de código por inyección de JDBC.

Vulnerabilidad CVE-2022-31659: Ejecución remota de código por inyección SQL.

Vulnerabilidad CVE-2022-31660, CVE-2022-31661 y CVE-2022-31664:
Escalada de privilegios local.

Vulnerabilidad CVE-2022-31657: Inyección de URLs.

Vulnerabilidad CVE-2022-31662: Limitación incorrecta de la ruta a un directorio restringido.

Vulnerabilidad CVE-2022-31663: Cross-site scripting (XSS).

III. Referencia a soluciones, herramientas e información

Actualizar a las versiones correspondientes, enlace: https://kb.vmware.com/s/article/89096

Fuentes:

CSIRT Nacional de Chile. 9VSA22-00684-01 CSIRT alerta de vulnerabilidades en productos VMware. 3 de agosto del 2022. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa22-00684-01/
Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en productos VMware. 3 de agosto del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-vmware-27

Información de contacto

CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124

S	M	T	W	T	F	S
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30