9VSA22-00618-01 CSIRT alerta de vulnerabilidades críticas en productos VMware

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte nuevas vulnerabilidades comunicadas por VMware para algunos de sus productos.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2022-22954

CVE-2022-22955

CVE-2022-22956

CVE-2022-22957

CVE-2022-22958

CVE-2022-22959

CVE-2022-22960

CVE-2022-22961

Impacto

Vulnerabilidades calificadas como de riesgo crítico:

CVE-2022-22954: Vulnerabilidad que permite la ejecución remota de código, existente en Workspace ONE Access e Identity Manager.

CVE-2022-22955 y CVE-2022-22956: Vulnerabilidades de bypass de autenticación en el framework OAuth2 ACS, que afectan a Workspace ONE Access.

CVE-2022-22957 y CVE-2022-22958: Vulnerabilidades de ejecución remota de código existentes en Workspace ONE Access, Identity Manager y vRealize.

Productos afectados

VMware Workspace ONE Access

VMware Identity Manager

VMware vRealize Automation

VMware Cloud Foundation

VMware Suite Lifecycle Manager

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://www.vmware.com/security/advisories/VMSA-2022-0011.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22954

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22955

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22956

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22957

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22958

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22959

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22960

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22961

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00618-01.