Accueil > Nouvelles Cyber > VMware révèle des vulnérabilités critiques CVE-2022-22951, CVE-2022-22952
CYBER NOUVELLES

VMware révèle des vulnérabilités critiques CVE-2022-22951, CVE-2022-22952

VMware révèle des vulnérabilités critiques CVE-2022-22951, CVE-2022-22952

Deux nouvelles vulnérabilités VMware ont été dévoilées, CVE-2022-22951 et CVE-2022-22952, les deux notés 9.1 à l'échelle CVSS. Les failles affectent la plateforme Carbon Black App Control, et pourraient être exploités dans des attaques d'exécution de code arbitraire contre des systèmes Windows vulnérables. Les vulnérabilités ont été découvertes par le chercheur en sécurité Jari Jääskelä.




CVE-2022-22951

Cette vulnérabilité a été décrite comme un problème d'injection de commande du système d'exploitation.
Selon l'avis officiel, VMware Carbon Black App Control contient une vulnérabilité d'injection de commande de système d'exploitation.

Quel est le vecteur d'attaque connu? Un attaquant authentifié avec des privilèges élevés et un accès réseau à l'interface d'administration de l'application pourrait exécuter des commandes sur le serveur, à la suite d'une mauvaise validation des entrées. Cela pourrait alors conduire à l'exécution de code à distance.

Pour résoudre le problème, VMware indique que vous devez appliquer les correctifs comme décrit dans l'avis.

CVE-2022-22952

Cette vulnérabilité est un problème de téléchargement de fichier. Un pirate disposant d'un accès administrateur à l'interface d'administration de VMware App Control pourrait exécuter du code sur l'instance Windows sur laquelle AppC Server est installé en téléchargeant un fichier spécialement conçu, VMware a dit.

Appliquer le patch disponible comme décrit dans l'avis corrige le problème.

Une autre vulnérabilité VMware récemment révélée est CVE-2021-22057. Le problème a été décrit comme une vulnérabilité critique dans VMware Workspace ONE Access qui affectait spécifiquement son authentification à deux facteurs (2FA) composant de traitement.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord