VMware ha lanzado una actualización de seguridad para corregir la vulnerabilidad crítica de inyección, identificada como CVE-2023-20858 con puntuación CVSS de 9.1, que afecta a varias versiones de Carbon Black App Control para plataformas Windows.
Un actor malicioso con acceso privilegiado a la consola de administración de App Control puede usar una entrada especialmente diseñada que permita el acceso al sistema operativo del servidor subyacente.
Carbon Black App Control ayuda a las grandes organizaciones a garantizar que sus puntos finales críticos ejecuten solo software confiable y aprobado.
Las fallas de inyección permiten a los atacantes ejecutar comandos o código en la aplicación de destino. Esto puede llegar a comprometer por completo los sistemas back-end y todos los clientes que se conectan a la aplicación vulnerable.
Versiones afectadas
- 8.7.7 e inferiores
- 8.8.5 e inferiores
- 8.9.3 e inferiores
Para corregir esta vulnerabilidad se han lanzado las actualizaciones respectivas para cada versión 8.7.8, 8.8.6 y 8.9.4 o posteriores.
VMware no ha compartido soluciones alternas o mitigaciones, la única opción es actualizar a las versiones mencionadas.
Cabe mencionar que, se corrigió otra vulnerabilidad de inyección XXE (entidad externa XML) identificada como CVE-2023-20855 y con puntuación CVSS de 8.8, la cual podría permitir a un actor malicioso utilizar entradas especialmente diseñadas para eludir las restricciones de análisis de XML y de este modo acceder a información confidencial o realizar un escalamiento de privilegios.
Productos afectados
- VMware vRealize Orchestrator versiones inferiores a 8.11.1 (versión corregida).
- VMware vRealize Automation versiones inferiores a 8.11.1 (versión corregida).
- VMware Cloud Foundation 4.x (corregido en KB90926).
Recomendaciones
- Aplicar, lo antes posible, las actualizaciones disponibles en la página del proveedor.
Referencias