La empresa de tecnología de computación en la nube y virtualización VMWare lanzó el jueves una actualización para resolver una falla de seguridad crítica en su producto Cloud Director que podría usarse como arma para lanzar ataques de ejecución remota de código.
El problema, asignado el identificador CVE-2022-22966tiene un puntaje CVSS de 9.1 de un máximo de 10. VMware le dio crédito al investigador de seguridad Jari Jääskelä por informar sobre la falla.
«Un actor malicioso autenticado y con muchos privilegios con acceso a la red del arrendatario o proveedor de VMware Cloud Director puede explotar una vulnerabilidad de ejecución remota de código para obtener acceso al servidor», dijo VMware. dicho en un aviso.
VMware Cloud Director, anteriormente conocido como vCloud Director, es utilizado por muchos proveedores de nube conocidos para operar y administrar sus infraestructuras de nube y obtener visibilidad de los centros de datos en todos los sitios y geografías.
En otras palabras, la vulnerabilidad podría terminar permitiendo que los atacantes obtengan acceso a datos confidenciales y se apoderen de nubes privadas dentro de una infraestructura completa.
Las versiones afectadas incluyen 10.1.x, 10.2.x y 10.3.x, con correcciones disponibles en las versiones 10.1.4.1, 10.2.2.3 y 10.3.3. La empresa también ha publicado soluciones alternativas que se puede seguir cuando actualizar a una versión recomendada no es una opción.
Los parches llegan un día después de que se detectaran vulnerabilidades para otra falla crítica recientemente reparada en VMware Workspace ONE Access.
La falla (CVE-2022-22954) se relaciona con una vulnerabilidad de ejecución remota de código que se deriva de la inyección de plantillas del lado del servidor en VMware Workspace ONE Access and Identity Manager.
Dado que los productos de VMware a menudo se convierten en un objetivo lucrativo para los actores de amenazas, la actualización se suma a la urgencia de que las organizaciones apliquen las mitigaciones necesarias para prevenir amenazas potenciales.