VMware envió el martes actualizaciones de seguridad para abordar una falla de seguridad crítica en su producto VMware Cloud Foundation.
El problema, rastreado como CVE-2021-39144, recibió una calificación de 9,8 sobre 10 en el sistema de puntuación de vulnerabilidad CVSS y se relaciona con una vulnerabilidad de ejecución remota de código a través de la biblioteca de código abierto XStream.
«Debido a un punto final no autenticado que aprovecha XStream para la serialización de entrada en VMware Cloud Foundation (NSX-V), un actor malicioso puede obtener la ejecución remota de código en el contexto de ‘raíz’ en el dispositivo», dijo la empresa. dijo en un aviso.
A la luz de la gravedad de la falla y su barra relativamente baja para la explotación, el proveedor de servicios de virtualización con sede en Palo Alto también ha puesto a disposición un parche para productos al final de su vida.
VMware también aborda como parte de la actualización CVE-2022-31678 (puntaje CVSS: 5.3), una entidad externa XML (XXE) vulnerabilidad que podría explotarse para dar lugar a una condición de denegación de servicio (DoS) o divulgación de información no autorizada.
A los investigadores de seguridad Sina Kheirkhah y Steven Seeley de Source Incite se les atribuye el informe de ambas fallas.
Se recomienda a los usuarios de VMware Cloud Foundation que apliquen los parches para mitigar posibles amenazas.