Múltiples vulnerabilidades en productos VMware
- ESXi, versiones 7.0 y 8.0.
- Workstation Pro / Player, versiones 17.x.
- Fusion Pro / Fusion, versiones 13.x.
- Cloud Foundation, versiones 4.x y 5.x.
Varios investigadores han reportado 4 vulnerabilidades, 2 de severidad crítica y 2 altas, en varios productos de VMware.
Las vulnerabilidades individuales documentadas que afectan al producto ESXi tienen una severidad inicial alta, pero la combinación de las mismas eleva el nivel de severidad a crítico.
Actualizar los productos afectados a las siguientes versiones:
- ESXi:
- Workstation Pro / Player, versión 17.5.1.
- Fusion Pro / Fusion, versión 13.5.1.
- Cloud Foundation, KB88287.
Un atacante con privilegios administrativos locales en una máquina virtual podría ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. En ESXi la explotación está contenida dentro del sandbox VMX mientras que, en Workstation y Fusion podría conllevar una ejecución de código en la máquina donde están instalados Workstation o Fusion. Se han asignado los identificadores CVE-2024-22252 y CVE-2024-22253 para estas vulnerabilidades críticas.
Las vulnerabilidades altas tienen asignados los identificadores CVE-2024-22254 y CVE-2024-22255.
