Vulnerabilidades CVE-2022-31702, CVE-2022-31703 afectan a VMware vRealize Network Insight

Mediante un aviso en su página web VMware envió un comunicado indicando 2 nuevas vulnerabilidades que afectan a su producto VMware vRealize Network Insight.

La compañía ha dado a conocer los detalles de las vulnerabilidades encontradas así como las versiones afectadas y sus respectivos parches de seguridad.

Descripción

La vulnerabilidad registrada CVE-2022-31702 y calificada como crítica, con un puntaje CVSSv3 de 9.8, se da por la API “Rest” presente en el sistema usado para inyección de comandos. La brecha de seguridad existe debido a una validación de entrada inadecuada en la API REST de vRNI. Un atacante con acceso a la red vRNI podría aprovecharse de esta debilidad presentada en el sistema para ejecutar comandos Shell sin autenticación.

La vulnerabilidad registrada CVE-2022-31703 con una calificación CVSSv3 de 7.5, permite a un atacante remoto realizar ataques a través de directorios, un agresor de la red podría hacer uso del error de validación de entrada al procesar secuencias de cruce de directorios dentro de la API “Rest”. El atacante puede enviar una solicitud HTTP diseñada para leer archivos del servidor.

Versiones afectadas

ProductVersionRunning OnCVE IdentifierCVSSv3SeverityFixed VersionWorkaroundsAdditional Documentation
VMware vRealize Network Insight (vRNI)6.7AnyCVE-2022-31702, CVE-2022-317039.8, 7.5Critical6.7 HFNoneNA
VMware vRealize Network Insight (vRNI)6.6AnyCVE-2022-31702, CVE-2022-317039.8, 7.5Critical6.6 HFNoneNA
VMware vRealize Network Insight (vRNI)6.5.xAnyCVE-2022-31702, CVE-2022-317039.8, 7.5Critical6.5.x HFNoneNA
VMware vRealize Network Insight (vRNI)6.4AnyCVE-2022-31702, CVE-2022-317039.8, 7.5Critical6.4 HFNoneNA
VMware vRealize Network Insight (vRNI)6.3AnyCVE-2022-31702, CVE-2022-317039.8, 7.5Critical6.3 HFNoneNA
VMware vRealize Network Insight (vRNI)6.2AnyCVE-2022-31702, CVE-2022-317039.8, 7.5Critical6.2 HFNoneNA

Recomendaciones:

Actualizar de forma inmediata vRealize Network Insight a la versión 6.8

Referencias: