TLP:CLEAR PAP:WHITE
Actualización de VMware Aria Operations
Descripción
La actualización de VMware Aria Operations aborda varias escaladas de privilegios locales y un problema de deserialización.
- Vulnerabilidad de escalada de privilegios de operaciones de VMware Aria (CVE-2023-20877; 8.8). Un usuario malintencionado autenticado con privilegios de solo lectura puede realizar la ejecución de código que conduzca a una escalada de privilegios.
- Vulnerabilidad de deserialización de operaciones de VMware Aria (CVE-2023-20878; 6.6). Un actor malicioso con privilegios administrativos puede ejecutar comandos arbitrarios e interrumpir el sistema.
- Vulnerabilidad de escalada de privilegios locales de VMware Aria Operations (CVE-2023-20879; 6.7). Un actor malicioso con privilegios administrativos en la aplicación Aria Operations puede obtener acceso de root al sistema operativo subyacente.
- Vulnerabilidad de escalada de privilegios locales de VMware Aria Operations (CVE-2023-20880; 6.4). Un actor malicioso con acceso administrativo al sistema local puede escalar los privilegios a 'root'.
Productos afectados
VMware Aria Operations (anteriormente vRealize Operations), versiones:
- 8.10
- 8.6.x
- 4.x
Riesgo
Alto
Soluciones
- Para VMware Aria Operations versión 8.10, aplicar 8.10 Hot Fix 4
- Para VMware Aria Operations versión 8.6.x, aplicar 8.6 Hot Fix 10
- Para VMware Aria Operations versión 4.x, aplicar KB92148
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es