VMware ha publicado un nuevo aviso de seguridad que afecta a tres de sus productos. El servidor de vCenter contiene una vulnerabilidad de deserialización insegura en el PSC (controlador de servicios de plataforma). VMware ha evaluado la gravedad de este problema con un CVSS de 7,2. Se trata del CVE-2022-31680 en el que un actor malintencionado con acceso de administrador en el servidor vCenter puede explotar este problema para ejecutar código arbitrario en el sistema operativo subyacente que aloja el servidor vCenter. La otra afectada es el CVE-2022-31681 que se trata de una vulnerabilidad de deferencia de puntero nulo y ha sido catalogada por VMware con un CVSS de 3,8, en la que un actor malintencionado con privilegios solo dentro del proceso VMX puede crear una condición de denegación de servicio en el host.

• VMware ESXi: 6.5, 6.7 y 7.0.
• VMware vCenter Server: 6.5, 6.7 y 7.0.
• VMware Cloud Foundation: 3.x y 4.x.

Se han publicado parches de seguridad para cada uno de los productos afectados que solucionan estas dos vulnerabilidades. Toda la información para su descarga e instalación, se encuentra disponible en el enlace de referencias.

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es