WMware notifica de vulnerabilidades en vCenter Server y Spring Expression
El equipo de Ciberseguridad de Netglobalis informa que VMware ha publicado 3 vulnerabilidades en vCenter Server y Spring Expression ambas de severidad Media que incluyen a Tanzu, para lo cual ya existen actualizaciones disponibles para remediar esta vulnerabilidad en los productos afectados. VMware Tanzu es una familia de productos y servicios para modernizar aplicaciones e infraestructura, creando nuevas aplicaciones cloud-native o llevar aplicaciones existentes a contenedores, además de poder ejecutarlas y gestionarlas en forma consistente y segur
Un atacante podría aprovechar esta vulnerabilidad para tomar el control de un sistema afectado.
Por tanto, se recomienda a los usuarios y administradores revisar las siguientes afectaciones y aplicar las actualizaciones necesarias:
SEVERIDADES MEDIA
CVE-2022-22948 Vulnerabilidad de divulgación de información de vCenter Server
Contiene una vulnerabilidad de divulgación de información a causa de un permiso inadecuado de los archivos, esto permite a un actor malicioso con acceso no administrativo explotar este problema para acceder a información confidencial.
CVE-2022-22950 Vulnerabilidad DoS de Spring Expression
Vulnerabilidad presente en las versiones Spring Framework 5.3.16 y anteriores en donde es posible que un usuario proporcione una expresión SpEL especialmente diseñada que puede causar una condición de denegación de servicio.
CVE-2022-22963 Vulnerabilidad de acceso a recursos de Spring Expression
Vulnerabilidad presente en las versiones de Spring Cloud Function 3.1.6, 3.2.2 y anteriores en donde al usar la funcionalidad de enrutamiento, es posible que un usuario proporcione una SpEL especialmente diseñada como una expresión de enrutamiento que puede resultar en el acceso a los recursos locales.
Mitigación:
Se recomienda lo siguiente:
Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
Fuente:
https://www.vmware.com/security/advisories/VMSA-2022-0009.html