VMware tiene liberado<\/a> actualizaciones de seguridad para corregir un tr\u00edo de fallas en Aria Operations for Networks que podr\u00edan resultar en la divulgaci\u00f3n de informaci\u00f3n y la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n La m\u00e1s cr\u00edtica de las tres vulnerabilidades es una vulnerabilidad de inyecci\u00f3n de comandos rastreada como CVE-2023-20887<\/a> (puntuaci\u00f3n CVSS: 9,8) que podr\u00eda permitir que un actor malicioso con acceso a la red logre la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n Tambi\u00e9n parcheado por VMware es otro vulnerabilidad de deserializaci\u00f3n<\/a> (CVE-2023-20888<\/a>) que tiene una calificaci\u00f3n de 9.1 de un m\u00e1ximo de 10 en el sistema de calificaci\u00f3n CVSS.<\/p>\n “Un actor malicioso con acceso a la red de VMware Aria Operations for Networks y credenciales v\u00e1lidas de rol de ‘miembro’ puede realizar un ataque de deserializaci\u00f3n que resulte en la ejecuci\u00f3n remota de c\u00f3digo”, dijo la compa\u00f1\u00eda en un aviso.<\/p>\n El tercer defecto de seguridad es un error de divulgaci\u00f3n de informaci\u00f3n de alta gravedad (CVE-2023-20889<\/a>puntuaci\u00f3n CVSS: 8,8) que podr\u00eda permitir a un actor con acceso a la red realizar un ataque de inyecci\u00f3n de comandos y obtener acceso a datos confidenciales.<\/p>\n Las tres deficiencias que afectan a VMware Aria Operations Networks versi\u00f3n 6.x han sido remediado<\/a> en las siguientes versiones: 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 y 6.10. No hay soluciones que mitiguen los problemas.<\/p>\n La alerta llega cuando Cisco enviado<\/a> corrige una falla cr\u00edtica en Expressway Series y TelePresence Video Communication Server (VCS) que podr\u00eda “permitir que un atacante autenticado con credenciales de solo lectura de nivel de administrador eleve sus privilegios a administrador con credenciales de lectura y escritura en un sistema afectado”.<\/p>\n La falla de escalada de privilegios (CVE-2023-20105, puntaje CVSS: 9.6), dijo, se deriva del manejo incorrecto de las solicitudes de cambio de contrase\u00f1a, lo que permite que un atacante altere las contrase\u00f1as de cualquier usuario en el sistema, incluida una lectura-escritura administrativa. usuario y luego hacerse pasar por ese usuario.<\/p>\n \ud83d\udd10 Dominio de la seguridad de API: comprensi\u00f3n de su verdadera superficie de ataque<\/p>\n Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n \u00danase a la sesi\u00f3n<\/a><\/div>\n Una segunda vulnerabilidad de alta gravedad en el mismo producto (CVE-2023-20192, puntuaci\u00f3n CVSS: 8,4) podr\u00eda permitir que un atacante local autenticado ejecute comandos y modifique los par\u00e1metros de configuraci\u00f3n del sistema.<\/p>\n Como soluci\u00f3n alternativa para CVE-2023-20192, Cisco recomienda que los clientes deshabiliten el acceso CLI para usuarios de solo lectura. Ambos problemas se abordaron en las versiones 14.2.1 y 14.3.0 de VCS, respectivamente.<\/p>\n Si bien no hay evidencia de que se haya abusado de alguna de las fallas antes mencionadas, se recomienda encarecidamente reparar las vulnerabilidades lo antes posible para mitigar los riesgos potenciales.<\/p>\n Los avisos tambi\u00e9n siguen la descubrimiento<\/a> de tres errores de seguridad<\/a> en RenderDoc (CVE-2023-33863<\/a>, CVE-2023-33864<\/a>y CVE-2023-33865<\/a>), un depurador de gr\u00e1ficos de c\u00f3digo abierto, que podr\u00eda permitir que un aviso obtenga privilegios elevados y ejecute c\u00f3digo arbitrario.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/Pandilla-china-PostalFurious-ataca-a-usuarios-de-EAU-con-esquema.png\")
<\/a><\/center><\/div>\n