Le géant de la virtualisation VMware a publié des correctifs pour une vulnérabilité de vCenter Server qui pourrait conduire à une exécution de code arbitraire.

Le serveur vCenter, un utilitaire de gestion centralisée, est utilisé pour contrôler les machines virtuelles et les hôtes ESXi, ainsi que leurs composants dépendants.

Suivi sous le nom de CVE-2022-31680 (score CVSS de 7.2), le bug de sécurité est décrit comme une vulnérabilité de désérialisation non sécurisée dans le contrôleur de services de plate-forme (PSC).

Selon la société, un attaquant ayant un accès administrateur sur le serveur peut exploiter ce problème pour exécuter du code arbitraire sur le système d'exploitation sous-jacent qui héberge le serveur vCenter.

VMware a également corrigé une autre vulnérabilité de déni de service (DoS) de faible gravité dans l'hyperviseur VMware ESXi bare metal.

Repéré sous le nom de CVE-2022-31681, le problème est décrit comme une faille de déréférencement de null-pointer qui pourrait permettre à un acteur malveillant ayant des privilèges au sein du processus VMX uniquement de créer une condition de déni de service sur l'hôte.

Il est recommandé à tous les clients de VMware d'effectuer une mise à jour vers une version corrigée des logiciels impactés.