9VSA23-00843-01 CSIRT comparte vulnerabilidades parchadas por VMware para Aria Operations for Networks
El CSIRT de Gobierno comparte información de vulnerabilidades parchadas por VMware para su producto Aria Operations for Networks, dos de ellas críticas.
![9VSA23-00843-01.png](https://media.ciberseguridad.gob.cl/images/9VSA23-00843-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno comparte información de vulnerabilidades parchadas por VMware para su producto Aria Operations for Networks, dos de ellas críticas.
Vulnerabilidades
CVE-2023-20887, CVE-2023-20888 y CVE-2023-20889.
Impacto
Vulnerabilidades de riesgo crítico
CVE-2023-20887: Vulnerabilidad de inyección de comandos. Identificada por VMware como de severidad crítica, con un punaje de 9.8 según la escala CVSSv3. Un actor malicioso con acceso de red a Aria Operations for Networks podría permitir un ataque de inyección de comandos, resultando en ejecución remota de código.
CVE-2023-20888: Vulnerabilidad de “authenticated deserialization”. Identificada por VMware como de severidad crítica, con un puntaje de 9.1 según la escala CVSSv3. Un actor malicioso con acceso de red a Aria Operations for Networks y credenciales de rol válidas como “miembro” puede permitir un ataque de deserialización, desembocando en una ejecución remota de código.
CVE-2023-20889: Vulnerabilidad de revelación de información. Identificada por VMware como de severidad importante, con un puntaje de 8.8 según la escala CVSSv3. Un actor malicioso con acceso de red a Aria Operations for Networks podría permitir realizar un ataque de inyección de comandos, resultando en revelación de información.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Aria Operations for Networks, antes conocido como vRealize Network Insight.
Enlaces
https://www.vmware.com/security/advisories/VMSA-2023-0012.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20887
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20888
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20889
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00843-01.