Múltiples vulnerabilidades en productos de VMware
- VMware Workstation Pro / Player (Workstation), versiones 17.x hasta la anterior a 17.5.2;
- VMware Fusion, versiones 13.x hasta la anterior a 13.5.2.
Múltiples investigadores han reportado 4 vulnerabilidades, 1 de severidad crítica y 3 de severidad alta, cuya explotación podría permitir a un atacante ejecutar código, crear una condición de denegación de servicio (DoS) o acceder a información sensible.
Para corregir las vulnerabilidades, el fabricante recomienda actualizar a las siguientes versiones:
- VMware Workstation Pro / Player (Workstation), versión 17.5.2;
- VMware Fusion, versión 13.5.2.
VMware Workstation y Fusion contienen una vulnerabilidad de uso después de la liberación en el dispositivo vbluetooth. Un actor malicioso con privilegios administrativos locales en una máquina virtual podría explotar esta vulnerabilidad para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. Se ha asignado el identificador CVE-2024-22267 para esta vulnerabilidad de severidad crítica.
Para las vulnerabilidades de severidad alta, se han asignado los identificadores CVE-2024-22268, CVE-2024-22269 y CVE-2024-22270.