VMware a publié des mises à jour de sécurité pour corriger une vulnérabilité de gravité critique affectant ESXi, Workstation, Fusion et Cloud Foundation, ainsi qu’une faille d’injection de commande de gravité critique affectant vRealize Network Insight.
La vulnérabilité VMware ESXi heap out-of-bounds write est répertoriée sous la référence CVE-2022-31705 et a reçu une note de gravité CVSS v3 de 9.3.
« Un acteur malveillant disposant de privilèges d’administration locale sur une machine virtuelle peut exploiter ce problème pour exécuter du code en tant que processus VMX de la machine virtuelle s’exécutant sur l’hôte », indique l’avis de sécurité.
VMware a publié des instructions étape par étape sur la façon d’appliquer la solution de contournement sur une machine virtuelle VMware ESXi, qui s’applique également à la suite Cloud Foundation.
Dans un bulletin de sécurité séparé, VMware donne des détails sur CVE-2022-31702, une vulnérabilité de gravité critique qui permet l’injection de commande dans l’API REST vRNI des versions 6.2 à 6.7 de vRealize Network Insight.
VMware vRealize Network Insight 6.8.0 n’est pas concerné par ces vulnérabilités.