9VSA23-00843-01 CSIRT comparte vulnerabilidades parchadas por VMware para Aria Operations for Networks

Resumen

El CSIRT de Gobierno comparte información de vulnerabilidades parchadas por VMware para su producto Aria Operations for Networks, dos de ellas críticas.

Vulnerabilidades

CVE-2023-20887, CVE-2023-20888 y CVE-2023-20889.

Impacto

Vulnerabilidades de riesgo crítico

CVE-2023-20887: Vulnerabilidad de inyección de comandos. Identificada por VMware como de severidad crítica, con un punaje de 9.8 según la escala CVSSv3. Un actor malicioso con acceso de red a Aria Operations for Networks podría permitir un ataque de inyección de comandos, resultando en ejecución remota de código.

CVE-2023-20888: Vulnerabilidad de “authenticated deserialization”. Identificada por VMware como de severidad crítica, con un puntaje de 9.1 según la escala CVSSv3. Un actor malicioso con acceso de red a Aria Operations for Networks y credenciales de rol válidas como “miembro” puede permitir un ataque de deserialización, desembocando en una ejecución remota de código.

CVE-2023-20889: Vulnerabilidad de revelación de información. Identificada por VMware como de severidad importante, con un puntaje de 8.8 según la escala CVSSv3. Un actor malicioso con acceso de red a Aria Operations for Networks podría permitir realizar un ataque de inyección de comandos, resultando en revelación de información.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados

Aria Operations for Networks, antes conocido como vRealize Network Insight.

Enlaces

https://www.vmware.com/security/advisories/VMSA-2023-0012.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20887

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20888

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20889

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00843-01.