VMware lanza parche para una vulnerabilidad crítica en Carbon Black App Control.

VMware ha lanzado una actualización de seguridad para corregir la vulnerabilidad crítica de inyección, identificada como CVE-2023-20858 con puntuación CVSS de 9.1, que afecta a varias versiones de Carbon Black App Control para plataformas Windows.

Un actor malicioso con acceso privilegiado a la consola de administración de App Control puede usar una entrada especialmente diseñada que permita el acceso al sistema operativo del servidor subyacente.

Carbon Black App Control ayuda a las grandes organizaciones a garantizar que sus puntos finales críticos ejecuten solo software confiable y aprobado.

Las fallas de inyección permiten a los atacantes ejecutar comandos o código en la aplicación de destino. Esto puede llegar a comprometer por completo los sistemas back-end y todos los clientes que se conectan a la aplicación vulnerable.

Versiones afectadas

  • 8.7.7 e inferiores
  • 8.8.5 e inferiores
  • 8.9.3 e inferiores

Para corregir esta vulnerabilidad se han lanzado las actualizaciones respectivas para cada versión 8.7.8, 8.8.6 y 8.9.4 o posteriores.

VMware no ha compartido soluciones alternas o mitigaciones, la única opción es actualizar a las versiones mencionadas.

Cabe mencionar que, se corrigió otra vulnerabilidad de inyección XXE (entidad externa XML) identificada como CVE-2023-20855 y con puntuación CVSS de 8.8, la cual podría permitir a un actor malicioso utilizar entradas especialmente diseñadas para eludir las restricciones de análisis de XML y de este modo acceder a información confidencial o realizar un escalamiento de privilegios.

Productos afectados

  • VMware vRealize Orchestrator versiones inferiores a 8.11.1 (versión corregida).
  • VMware vRealize Automation versiones inferiores a 8.11.1 (versión corregida).
  • VMware Cloud Foundation 4.x (corregido en KB90926).

Recomendaciones

  • Aplicar, lo antes posible, las actualizaciones disponibles en la página del proveedor.

Referencias