Le géant de la virtualisation VMware a publié des correctifs pour quatre vulnérabilités dans son produit vRealize Log Insight, dont deux ont un indice de gravité « critique ».
La paire critique est CVE-2022-31703 et CVE-2022-31704. Le premier est une vulnérabilité de traversée de répertoire, tandis que le second est une vulnérabilité de contrôle d’accès cassé. Les deux ont reçu un score de gravité de 9,8 et permettent aux acteurs de la menace d’accéder à des ressources qui devraient autrement être inaccessibles.
« Un acteur malveillant non authentifié peut injecter des fichiers dans le système d’exploitation d’une appliance impactée, ce qui peut entraîner l’exécution de code à distance », a expliqué VMware.
Données sensibles en danger
Les deux autres failles sont CVE-2022-31710 et CVE-2022-31711. La première est une vulnérabilité de désérialisation qui permet aux pirates de falsifier les données et de lancer des attaques par déni de service. Il a reçu un score de gravité de 7,5. Ce dernier est un bogue de divulgation d’informations noté 5,3 qui peut être exploité pour voler des données sensibles.
Pour se protéger contre les failles, il est conseillé aux utilisateurs d’appliquer le correctif immédiatement et d’apporter leurs terminaux (s’ouvre dans un nouvel onglet) à la version 8.10.2. Ceux qui ne peuvent pas appliquer le correctif pour le moment peuvent également appliquer la solution de contournement, pour laquelle les instructions peuvent être trouvées ici (s’ouvre dans un nouvel onglet).
Les failles ont été découvertes à l’origine par la Zero Day Initiative, a confirmé la publication. Les membres du programme ont déclaré que jusqu’à présent, il n’y avait aucune preuve que les défauts aient été abusés dans la nature.
« Nous n’avons connaissance d’aucun code d’exploitation public ni d’aucune attaque active utilisant cette vulnérabilité », a déclaré Dustin Childs, responsable de la sensibilisation aux menaces chez ZDI de Trend Micro. Le registre. « Bien que nous n’ayons pas actuellement l’intention de publier une preuve de concept pour ce bogue, nos recherches sur VMware et d’autres technologies de virtualisation se poursuivent. »
vRealize Log Insight est un outil de gestion des journaux. Bien qu’elle ne soit pas aussi populaire que certaines des autres solutions de VMware, la présence de l’entreprise dans les secteurs public et privé fait très probablement de tous ses produits une cible attrayante pour les cybercriminels à la recherche de vulnérabilités.
Via : Le Registre (s’ouvre dans un nouvel onglet)