Estimados clientes,
El equipo de Ciberseguridad de Netglobalis informa: VMware ha publicado 2 avisos de seguridad que contemplan 7 vulnerabilidades, de las cuales 4 son catalogadas como Altas y 3 como Medias. Dichas vulnerabilidades afectan a los productos: Consola de VMware Workspace ONE UEM, vRealize Operations Manager y VMware Cloud Foundation con denegación de servicios, vulnerabilidades de lectura arbitraria, entre otros.
Severidad Alta:
CVE-2021-22025 – Vulnerabilidad de control de acceso roto en la API de vRealize Operations Manager
La API de vRealize Operations Manager contiene una vulnerabilidad de control de acceso roto que conduce a un acceso a la API no autenticado. Un actor malintencionado no autenticado con acceso de red a la API de vRealize Operations Manager puede agregar nuevos nodos al clúster de vROps existente.
CVE-2021-22024 – Vulnerabilidad de lectura arbitraria de archivos de registro en la API de vRealize Operations Manager
Un actor malicioso sin autenticación con acceso de red a la API de vRealize Operations Manager puede leer cualquier archivo de registro que resulte en la divulgación de información confidencial.
CVE-2021-22026, CVE-2021-22027 – Falsificación de solicitudes del lado del servidor en la API de vRealize Operations Manager
Esta vulnerabilidad permitiría a un usuario malicioso sin autenticación con acceso de red a la API de vRealize Operations Manager realizar un ataque de falsificación de solicitud del lado del servidor que lleve a la divulgación de información.
Severidad Media:
CVE-2021-22023 – Vulnerabilidad insegura de referencia de objetos directos en la API de vRealize Operations Manager
La explotación de esta vulnerabilidad permitiría que un actor malintencionado con acceso administrativo a la API de vRealize Operations Manager pueda modificar la información de otros usuarios, lo que lleva a una toma de control de la cuenta.
CVE-2021-22029 – Vulnerabilidad de denegación de servicio
La API REST de VMware Workspace ONE UEM contiene una vulnerabilidad de denegación de servicio. Un actor malintencionado con acceso a / API / system / admins / session podría causar una denegación de servicio de API debido a una limitación de velocidad inadecuada.
CVE-2021-22022 – Vulnerabilidad de lectura arbitraria de archivos en la API de vRealize Operations Manager
Un actor malicioso con acceso administrativo a la API de vRealize Operations Manager puede leer cualquier archivo arbitrario en el servidor que lleve a la divulgación de información.
Debido a la existencia de estas vulnerabilidades se recomienda instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor.