Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de VMware

Fecha de publicación 15/05/2024
Identificador
INCIBE-2024-0255
Importancia
5 - Crítica
Recursos Afectados
  • VMware Workstation Pro / Player (Workstation), versiones 17.x hasta la anterior a 17.5.2;
  • VMware Fusion, versiones 13.x hasta la anterior a 13.5.2.
Descripción

Múltiples investigadores han reportado 4 vulnerabilidades, 1 de severidad crítica y 3 de severidad alta, cuya explotación podría permitir a un atacante ejecutar código, crear una condición de denegación de servicio (DoS) o acceder a información sensible.

Solución

Para corregir las vulnerabilidades, el fabricante recomienda actualizar a las siguientes versiones:

  • VMware Workstation Pro / Player (Workstation), versión 17.5.2;
  • VMware Fusion, versión 13.5.2.
Detalle

VMware Workstation y Fusion contienen una vulnerabilidad de uso después de la liberación en el dispositivo vbluetooth. Un actor malicioso con privilegios administrativos locales en una máquina virtual podría explotar esta vulnerabilidad para ejecutar código como el proceso VMX de la máquina virtual que se ejecuta en el host. Se ha asignado el identificador CVE-2024-22267 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta, se han asignado los identificadores CVE-2024-22268, CVE-2024-22269 y CVE-2024-22270.