Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Alta” y 1 (una) de severidad “Media”. Estas son, CVE-2022-22945 y CVE-2022-22944, que se detallan a continuación:
- CVE-2022-22945 de severidad alta, con una puntuación de 8.8, afecta al componente del dispositivo NSX Edge (enrutador virtual), provocando una vulnerabilidad de inyección de shell en la interfaz de línea de comandos (CLI). Si es que la explotación de la shell fuera exitosa, el acceso a la conexión SSH y las credenciales fueran válidas, un atacante podría obtener acceso sin restricciones al sistema operativo subyacente como administrador (root).
- CVE-2022-22944 de severidad media, con una puntuación de 6.6, esta falla se debe a una incorrecta validación en las descripciones de eventos del calendario de VMware Workspace ONE Boxer, que permitiría un atacante inyectar códigos JavaScript arbitrarios dentro de la ventana de un usuario, provocando una vulnerabilidad de cross-site scripting (XSS).
Los productos de VMware afectados son:
VMware Workspace ONE Boxer:
- VMware Workspace ONE Boxer en iOS.
- VMware Workspace ONE Boxer en Android (aún no cuenta con una actualización de seguridad).
VMware NSX Data Center para vSphere:
- Centro de Datos VMware NSX para vSphere (NSX-V).
- VMware Cloud Foundation (aún no cuenta con una actualización de seguridad).
Recomendamos instalar las actualizaciones correspondientes de los productos de VMware afectados, mediante los siguientes enlaces:
VMware Workspace ONE Boxer para iOS:
NSX Data Center para vSphere:
Referencias:
- https://www.vmware.com/security/advisories/VMSA-2022-0006.html
- https://www.vmware.com/security/advisories/VMSA-2022-0005.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22944
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22945
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1157/