Nuevos avisos de seguridad para productos VMware

25 Agosto 2021
Alto

VMware ha publicado 2 avisos de seguridad que contemplan 7 vulnerabilidades, de las cuales 4 son catalogadas como Altas y 3 como Medias. Dichas vulnerabilidades afectan a los productos: Consola de VMware Workspace ONE UEM, vRealize Operations Manager y VMware Cloud Foundation con denegación de servicios, vulnerabilidades de lectura arbitraria, entre otros.

vRealize Operations Manager

Es una plataforma de gestión de las operaciones de TI autónomas para entornos privados, híbridos y multinube que incorpora inteligencia artificial y análisis predictivos.

 Severidad Alta

CVE-2021-22025 - Vulnerabilidad de control de acceso roto en la API de vRealize Operations Manager CVSSv3 de 8,6 

La API de vRealize Operations Manager contiene una vulnerabilidad de control de acceso roto que conduce a un acceso a la API no autenticado. Un actor malintencionado no autenticado con acceso de red a la API de vRealize Operations Manager puede agregar nuevos nodos al clúster de vROps existente.

CVE-2021-22024 - Vulnerabilidad de lectura arbitraria de archivos de registro en la API de vRealize Operations Manager CVSSv3 de 7,5

Un actor malicioso sin autenticación con acceso de red a la API de vRealize Operations Manager puede leer cualquier archivo de registro que resulte en la divulgación de información confidencial.

CVE-2021-22026, CVE-2021-22027 - Falsificación de solicitudes del lado del servidor en la API de vRealize Operations Manager CVSSv3 de 7,5

Esta vulnerabilidad permitiría a un usuario malicioso sin autenticación con acceso de red a la API de vRealize Operations Manager realizar un ataque de falsificación de solicitud del lado del servidor que lleve a la divulgación de información.

Severidad Media

CVE-2021-22023 - Vulnerabilidad insegura de referencia de objetos directos en la API de vRealize Operations Manager CVSSv3 de 6,6

La explotación de esta vulnerabilidad permitiría que un actor malintencionado con acceso administrativo a la API de vRealize Operations Manager pueda modificar la información de otros usuarios, lo que lleva a una toma de control de la cuenta.

CVE-2021-22029 - Vulnerabilidad de denegación de servicio CVSSv3 de 5,3 

La API REST de VMware Workspace ONE UEM contiene una vulnerabilidad de denegación de servicio. Un actor malintencionado con acceso a / API / system / admins / session podría causar una denegación de servicio de API debido a una limitación de velocidad inadecuada.

CVE-2021-22022 - Vulnerabilidad de lectura arbitraria de archivos en la API de vRealize Operations Manager CVSSv3 de 4,4

Un actor malicioso con acceso administrativo a la API de vRealize Operations Manager puede leer cualquier archivo arbitrario en el servidor que lleve a la divulgación de información.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.

El listado de las CVE se adjunta a continuación:


Tags: #VMware #Parche #CVE-2021-22022 #CVE-2021-22023 #CVE-2021-22024 #CVE-2021-22025 #CVE-2021-22026 #CVE-2021-22027 #CVE-2021-22029
  • Productos Afectados
  • Producto Versión
    Consola de VMware Workspace ONE UEM 2105 anteriores a 21.5.0.2
    2102 anteriores a 21.2.0.14
    2011 anteriores a 20.11.0.30
    2008 anteriores a 20.0.8.32
    2005 anteriores a 20.5.0.51
    2001 anteriores a 20.1.0.33
    VMware Cloud Foundation (vROps) 4.x anteriores a KB85452
    3.x anteriores a KB85452
    8.x anteriores a KB85452
    vRealize Operations Manager 8.5.0
    8.4.0 anteriores a KB85383
    8.3.0 anteriores a KB85382
    8.2.0 anteriores a KB85381
    8.1.1 y 8.1.0 anteriores a KB85380
    8.0.1 y 8.0.0 anteriores a KB85379
    7.5.0 anteriores a KB85378


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.