VMware corrige varias vulnerabilidades de gravedad alta en diferentes productos

VMware corrigió el martes pasado varias vulnerabilidades (VMSA-2022-0004, VMSA-2022-0005) de alta gravedad que afectan a ESXi, Workstation, Fusion, Cloud Foundation y NSX Data Center para vSphere y que podrían ser explotadas para ejecutar código arbitrario y provocar una condición de denegación de servicio (DoS).

Las vulnerabilidades de seguridad corregidas y publicadas por VMWare (VMSA-2022-0004, VMSA-2022-0005) que engloba los siguientes CVE  (CVE-2021-22040, CVE-2021-22041, CVE-2021-22042, CVE-2021-22043, CVE-2021-22050) y (CVE-2022-22945) son consideradas por parte de VMware como crítica e importante respectivamente.

Vulnerabilidades

Listado  de avisos de seguridad de VMware

• Vulnerabilidad de nivel alto CVE-2021-22040 – Uso después de “free” en el controlador USB XHCI
• Vulnerabilidad de nivel alto CVE-2021-22041 – Uso de doble “fetch”  en el controlador USB UHCI
• Vulnerabilidad de nivel alto CVE-2021-22042 – Acceso no autorizado a la configuración de ESXi
• Vulnerabilidad de nivel alto CVE-2021-22043 – ESXi settingsd TOCTOU
• Vulnerabilidad de nivel medio CVE-2021-22050 – Denegación de servicio HTTP POST lenta de ESXi
• Vulnerabilidad de nivel alto CVE-2022-22945 – Inyección de shell CLI en el componente del dispositivo NSX Edge

Recomendaciones

VMWare recomienda actualizar a la versiónes actualizadas, que se indican en los avisos de seguridad de VMware.  La lista completa de cambios en los diferentes productos puede ser consultada más concretamente en los dos avisos (VMSA-2022-0004 y VMSA-2022-0005)

Referencias:

• Avisos de seguridad de VMware: https://www.vmware.com/security/advisories.html
• VMSA-2022-0004: https://www.vmware.com/security/advisories/VMSA-2022-0004.html
• VMSA-2022-0005: https://www.vmware.com/security/advisories/VMSA-2022-0005.html
• CVE-2021-22040: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22040
• CVE-2021-22041: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22041
• CVE-2021-22042: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22042
• CVE-2021-22043: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22043
• CVE-2021-22050: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22050
• CVE-2022-22945: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22945

Libros recomendados

Relatos para hackear el tiempo

Una al día

Open Source INTelligence (OSINT)