9VSA23-00852-01 CSIRT comparte información de nuevas vulnerabilidades en vCenter Server de VMware
El CSIRT de Gobierno comparte información de una nuevas vulnerabilidades de alto riesgo en vCenter Server de VMware, para mitigar las cuales el proveedor ya hizo disponibles versiones parchadas.
Resumen
El CSIRT de Gobierno comparte información de una nuevas vulnerabilidades de alto riesgo en vCenter Server de VMware, para mitigar las cuales el proveedor ya hizo disponibles versiones parchadas.
Vulnerabilidades
CVE-2023-20892
CVE-2023-20893
CVE-2023-20894
CVE-2023-20895
CVE-2023-20896
Impacto
Vulnerabilidades de riesgo alto
CVE-2023-20892: Puede ser explotada por atacantes no autenticados con acceso de red, quienes pueden ganar ejecución de código en ataques de alta complejidad que no requieren interacción del usuario y podrían resultar en total pérdida de confidencialidad, integridad y disponibilidad.
CVSSv3: 8.1.
CVE-2023-20893: Puede ser explotada por atacantes no autenticados con acceso de red, quienes pueden ganar ejecución de código en ataques de alta complejidad que no requieren interacción del usuario y podrían resultar en total pérdida de confidencialidad, integridad y disponibilidad.
CVSSv3: 8.1.
CVE-2023-20894: Un actor malicioso con acceso de red a vCenter Server puede detonar escritura fuera de los límites de la memoria al enviar un paquete especialmente diseñado, llevando a corrupción de memoria.
CVSSv3: 8.1.
CVE-2023-20895: Actores maliciosos pueden detonar una corrupción de lectura fuera de límites de la memoria y corrupción de memoria, permitiéndoles evadir la autenticación.
CVSSv3: 8.1.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
VCenter Server 7.0, 8.0.
Cloud Foundation (vCenter Server) 5.x, 4.x
Enlaces
https://www.vmware.com/security/advisories/VMSA-2023-0014.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20892
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20893
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20894
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20895
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20896
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: .