VMware hace públicas actualizaciones de seguridad para solucionar las vulnerabilidades que presentaban varios de sus productos, pudiendo ser explotados por un atacante para tomar el control de un sistema.
Las seis vulnerabilidades se clasifican con los CVE-2021-22022, CVE-2021-22023, CVE-2021-22024, CVE-2021-22025, CVE-2021-22026 y CVE-2021-22027, rondando una puntuación CVSS (Common Vulnerability Scoring System) entre 4,4 y 8,6. Estos afectan a VMware vRealize Operations anteriores a la version 8.5.0, VMware Could Foundation versiones 3.x y 4.x y vRealize Suite Lifecycle Manager versión 8.x.
La vulnerabilidad más crítica, clasificada como CVE-2021-22025, podría permitir un salto en las restricciones de seguridad a un atacante no autenticado. Por consiguiente, la CVE-2021-22027 permite falsificar solicitudes del lado del servidor en la API de vRealize, conduciendo a la divulgación de información.
Por otro lado, la filial de EMC Corporation también ha publicado parches para corregir una vulnerabilidad XSS que afectaba a otro de sus productos ( VMware vRealize Log Insight y VMware Cloud Foundation ). Este permite a un atacante con privilegios de usuario inyectar carga maliciosa a través de la interfaz de usuario de Log Insight, que se ejecuta cuando una víctima accede al enlace del panel compartido.
El fallo, al que se ha asignado el identificador CVE-2021-22021, ha recibido una calificación de 6,5 sobre 10 en el sistema de puntuación. Dos ingenieros de seguridad de Prevenity y de Vantage han sido acreditados por descubrir y reportar la vulnerabilidad.
Anteriormente, ya hemos hablado de este tipo de parches que han estado solucionando vulnerabilidades en otras versiones.
Fuente: https://unaaldia.hispasec.com/2021/09/vmware-parchea-fallos-que-afectaban-a-varios-productos.html