Fecha de publicación: 15/12/2022 Nivel de peligrosidad: CRÍTICA
El CCN-CERT, del Centro Criptológico Nacional, avisa de la publicación de dos vulnerabilidades críticas y una alta que afectan a productos VMware. El fabricante especifica que el producto VMware vRealize Network Insight (vRNI) se ve afectado por 2 vulnerabilidades, una crítica y otra alta. Por otra parte, VMware ESXi, Workstation y Fusion pueden comprometerse por una vulnerabilidad de severidad crítica.
El CVE ha sido registrado con el código CVE-2022-31705 y los fallos identificados en el mismo permiten a un atacante remoto ejecutar código arbitrario y llevar a cabo una escritura fuera de los límites.
Recursos afectados
Las vulnerabilidades reportadas afectan a las siguientes versiones:
- VMware VRealize Network Insight: versiones 6.7, 6.6, 6.5.X, 6.4, 6.3 y 6.2
- VMware ESXi: versiones 8.0 y 7.0
- VMware ESXi Cloud Foundation: versiones 4.X y 3.X
- VMware Fusion: version 12.X en sistemas macOS
- VMware Workstation: versión 16.X
Solución a las vulnerabilidades
VMware ha publicado el parche correspondiente para corregir las vulnerabilidades en el producto afectado. A continuación, se adjunta un enlace que contienen las instrucciones correspondientes para actualizar a las versiones parcheadas:
El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen la actualización mencionada con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, el fabricante ha proporcionado medidas de mitigación alternativas a las propias actualizaciones lanzadas para solucionar la vulnerabilidad CVE-2022-31705. Las instrucciones están disponibles a través de los siguientes enlaces:
Atentamente,
Equipo CCN-CERT
|