VMware publikuje biuletyn bezpieczeństwa VMSA-2023-0023(krytyczna podatność) i VMSA-2023-0024. (P23-300)

cert.pse-online.pl 6 miesięcy temu

Produkt	VMware vCenter Server 7.0-8.0 VMware Cloud Foundation 5.x, 4.x
Numer CVE	CVE-2023-34048
Krytyczność	9,8/10
CVSS	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Złośliwy aktor mający dostęp sieciowy do serwera vCenter może wyzwolić zapis poza zakresem, co może potencjalnie prowadzić do zdalnego wykonania kodu.

Numer CVE	CVE-2023-34056
Krytyczność	4,3/10
CVSS	AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/D:N
Opis	Złośliwy aktor z uprawnieniami innymi niż administracyjne do vCenter Server może wykorzystać ten problem, aby uzyskać dostęp do nieautoryzowanych danych.

Aktualizacja	TAK
Link	https://www.vmware.com/security/advisories/VMSA-2023-0023.html

Produkt	VMware Tools 12.x.x, 11.x.x, 10.3.x
Numer CVE	CVE-2023-34057
Krytyczność	7,8/10
CVSS	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis	Złośliwy aktor mający dostęp użytkownika lokalnego do maszyny wirtualnej gościa może podnieść uprawnienia w obrębie maszyny wirtualnej.

Numer CVE	CVE-2023-34058
Krytyczność	7,5/10
CVSS	AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis	Złośliwy aktor, któremu przyznano uprawnienia do obsługi gościa na docelowej maszynie wirtualnej, może być w stanie podnieść swoje uprawnienia, jeżeli tej docelowej maszynie wirtualnej przypisano bardziej uprzywilejowany alias gościa.

Aktualizacja	TAK
Link	https://www.vmware.com/security/advisories/VMSA-2023-0024.html