VMware corrige vulnerabilidades en sus productos

12 Febrero 2021
Alto

En una nueva actualización VMware ha publicado dos vulnerabilidades que afectan a vSphere Replication, VMware ESXi, Workstation, Fusion y Cloud Foundation. Una de estas vulnerabilidades fue catalogada como Alta y una como Baja. 

Vulnerabilidad Alta

Vulnerabilidad de inyección de comandos autenticada en vSphere Replication CVE-2021-21976

Una vulnerabilidad en VMware vSphere Replication, una extensión de VMware vCenter Server que ofrece la protección y solución de recuperación de datos, contiene inyección de comando posterior a la autenticación en la página "Configuración de inicio", lo que podría permitir a un actor malicioso con acceso administrativo en vSphere Replication ejecutar comandos de shell en el sistema subyacente consiguiendo, en una posible explotación exitosa, permitir que un usuario administrador autenticado realice una ejecución remota de código  (RCE).

Vulnerabilidad Baja

Vulnerabilidad de denegación de servicio debido a una validación de entrada incorrecta CVE-2020-3999

Los productos VMware ESXi, Workstation y Fusion contienen una vulnerabilidad de denegación de servicio (DDoS) debido a una validación de entrada incorrecta en GuestInfo.

Si un actor malicioso tiene acceso de privilegios de usuario normal a una máquina virtual podría bloquear el proceso vmx de la máquina virtual y provocar una condición de denegación de servicio.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #VMware #Parche #Esxi #CVE-2021-21976 #CVE-2020-3999 #vSphere


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.