Este boletín incluye las alertas VMSA-2023-0004 y VMSA-2023-0005, en los cuales se informa de las siguientes vulnerabilidades.

CVE-2023-20858 (9.1): Una vulnerabilidad de inyección que afecta a VMware Carbon Black App Control se informó de forma privada a VMware.
Un actor malicioso con acceso privilegiado a la consola de administración de App Control puede usar entradas especialmente diseñadas que permitan el acceso al sistema operativo del servidor subyacente.

CVE-2023-20855 (8.8): Se informó de forma privada a VMware sobre una vulnerabilidad de XML External Entity (XXE) que afectaba a VMware vRealize Orchestrator.
Un actor malicioso, con acceso no administrativo a vRealize Orchestrator, puede utilizar entradas especialmente diseñadas para eludir las restricciones de análisis de XML que conducen al acceso a información confidencial o una posible escalada de privilegios.

• VMware Carbon Black App Control (App Control)
• VMware vRealize Orchestrator
• VMware vRealize Automation
• VMware Cloud Foundation (Cloud Foundation)

Se recomienda actualizar los productos a las siguientes versiones:

• App Control:
• V8.9.x, actualizar a v8.9.4
• V8.8.x, actualizar a v8.9.6
• V8.7.x, actualizar a v8.7.8
• VMware vRealize Orchestrator: v8.x, actualizar a 8.11.1
• VMware vRealize Automation: v8.x, actualizar a 8.11.1
• VMware Cloud Foundation: v8.x, aplicar parche KB90926

VMSA-2023-0004