VMware a publié mardi un logiciel pour remédier à quatre vulnérabilités de sécurité affectant vRealize Log Insight (alias Aria Operations for Logs) qui pourraient exposer les utilisateurs à des attaques d’exécution de code à distance.
Deux des failles sont critiques, avec une cote de gravité de 9,8 sur un maximum de 10, a noté le fournisseur de services de virtualisation dans son premier bulletin de sécurité pour 2023.
Suivis comme CVE-2022-31706 et CVE-2022-31704, les problèmes de traversée de répertoire et de contrôle d’accès cassé pourraient être exploités par un acteur malveillant pour réaliser l’exécution de code à distance, quelle que soit la différence dans la voie d’attaque.
« Un acteur malveillant non authentifié peut injecter des fichiers dans le système d’exploitation d’un appareil impacté, ce qui peut entraîner l’exécution de code à distance », a déclaré la société à propos des deux lacunes.
Une troisième vulnérabilité concerne une faille de désérialisation (CVE-2022-31710, score CVSS : 7,5) qui pourrait être militarisée par un attaquant non authentifié pour déclencher une condition de déni de service (DoS).
Enfin, vRealize Log Insight s’est également avéré sensible à un bogue de divulgation d’informations (CVE-2022-31711, score CVSS : 5,3) qui pourrait permettre l’accès à des données de session et d’application sensibles sans aucune authentification.
La Zero Day Initiative (ZDI) a été reconnue pour avoir signalé toutes les failles. Outre la publication de la version 8.10.2 pour résoudre les problèmes, VMware a également fourni des solutions de contournement pour les atténuer jusqu’à ce que les correctifs puissent être appliqués.
Bien qu’il n’y ait aucune indication que les vulnérabilités susmentionnées aient été exploitées dans la nature, il n’est pas rare que les acteurs de la menace ciblent les appliances VMware dans leurs attaques, ce qui rend essentiel que les correctifs soient appliqués dès que possible.