VMware a libéré mises à jour de sécurité pour corriger un trio de failles dans Aria Operations for Networks qui pourraient entraîner la divulgation d’informations et l’exécution de code à distance.
La plus critique des trois vulnérabilités est une vulnérabilité d’injection de commande suivie comme CVE-2023-20887 (score CVSS : 9,8) qui pourrait permettre à un acteur malveillant disposant d’un accès au réseau d’exécuter du code à distance.
Également patché par VMware est un autre vulnérabilité de désérialisation (CVE-2023-20888) qui est noté 9,1 sur un maximum de 10 sur le système de notation CVSS.
« Un acteur malveillant disposant d’un accès réseau à VMware Aria Operations for Networks et d’informations d’identification de rôle » membre « valides peut être en mesure d’effectuer une attaque de désérialisation entraînant l’exécution de code à distance », a déclaré la société dans un avis.
Le troisième défaut de sécurité est un bogue de divulgation d’informations très grave (CVE-2023-20889score CVSS : 8,8) qui pourrait permettre à un acteur disposant d’un accès au réseau d’effectuer une attaque par injection de commande et d’accéder à des données sensibles.
Les trois défauts, qui impactent VMware Aria Operations Networks version 6.x, ont été corrigé dans les versions suivantes : 6.2, 6.3, 6.4, 6.5.1, 6.6, 6.7, 6.8, 6.9 et 6.10. Il n’existe aucune solution de contournement qui atténue les problèmes.
L’alerte arrive alors que Cisco expédié corrige une faille critique dans sa série Expressway et TelePresence Video Communication Server (VCS) qui pourrait « permettre à un attaquant authentifié avec des informations d’identification en lecture seule de niveau administrateur d’élever ses privilèges à administrateur avec des informations d’identification en lecture-écriture sur un système affecté ».
La faille d’escalade de privilèges (CVE-2023-20105, score CVSS : 9,6), a-t-il déclaré, découle d’une gestion incorrecte des demandes de changement de mot de passe, permettant ainsi à un attaquant de modifier les mots de passe de n’importe quel utilisateur sur le système, y compris un accès administratif en lecture-écriture. utilisateur, puis usurper l’identité de cet utilisateur.
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Une deuxième vulnérabilité de gravité élevée dans le même produit (CVE-2023-20192, score CVSS : 8,4) pourrait permettre à un attaquant local authentifié d’exécuter des commandes et de modifier les paramètres de configuration du système.
Comme solution de contournement pour CVE-2023-20192, Cisco recommande aux clients de désactiver l’accès CLI pour les utilisateurs en lecture seule. Les deux problèmes ont été résolus dans les versions 14.2.1 et 14.3.0 de VCS, respectivement.
Bien qu’il n’y ait aucune preuve que l’un des défauts susmentionnés ait été abusé dans la nature, il est fortement conseillé de corriger les vulnérabilités dès que possible pour atténuer les risques potentiels.
Les avis suivent également les Découverte de trois bogues de sécurité dans RenderDoc (CVE-2023-33863, CVE-2023-33864et CVE-2023-33865), un débogueur graphique open source, qui pourrait permettre à un avis d’obtenir des privilèges élevés et d’exécuter du code arbitraire.
Poster un commentaire