Vulnerabilidad crítica en VMware Carbon Black App Control

22 Junio 2021
Crítico

En una nueva actualización VMware ha publicado dos vulnerabilidades, incluyendo una de severidad crítica con puntuación 9.4, que permitiría la omisión de autenticación en el servidor de administración de VMware Carbon Black App Control.

VMware Carbon Black App Control es un producto de control de aplicaciones que se utiliza para bloquear servidores y sistemas críticos, evitar cambios no deseados y garantizar el cumplimiento continuo de los mandatos normativos.

CVE-2021-21998 Vulnerabilidad de omisión de autenticación de direcciones en VMware Carbon Black App

El servidor de administración de VMware Carbon Black App Control tiene un desvío de autenticación. Un actor malintencionado con acceso de red al servidor de administración de VMware Carbon Black App Control podría obtener acceso administrativo al producto sin la necesidad de autenticarse.

VMware ha evaluado que la gravedad de este problema se encuentra en el rango de gravedad crítica con una puntuación base máxima de CVSSv3 de 9.4

VMware fue informado de forma privada sobre esta vulnerabilidad y ya existen actualizaciones disponibles para remediar esta vulnerabilidad en el producto VMware afectado.

CVE-2021-21997 Vulnerabilidad de denegación de servicio en VMware Tools para Windows

VMware Tools, para Windows, contiene una vulnerabilidad de denegación de servicio en el controlador VM3DMP. Un actor malintencionado con privilegios de usuario local en el sistema operativo invitado de Windows, donde está instalado VMware Tools, puede desencadenar un pánico en el controlador VM3DMP que conduce a una condición de denegación de servicio en el sistema operativo invitado de Windows.

VMware ha evaluado que la gravedad de este problema se encuentra en el rango de gravedad baja con una puntuación base máxima de CVSSv3 de 3,3

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #VMware #Parche #Tools #CarbonBlack #AppC #CVE-2021-21998 #CVE-2021-21997


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.