Le géant des technologies de virtualisation VMware a envoyé son premier bulletin de sécurité pour 2023 avec des correctifs pour plusieurs failles de niveau critique qui exposent les entreprises à des attaques par exécution de code à distance.

VMware a déclaré que les défauts de sécurité affectent les utilisateurs de son produit VMware vRealize Log Insight et pourraient être exploités par un attaquant non authentifié pour prendre le contrôle total d'un système cible.

VRealize Log Insight de VMware est une appliance virtuelle de collecte et d'analyse de journaux utilisée par les administrateurs pour collecter, visualiser, gérer et analyser les données syslog.

La société a déclaré que la plus grave des quatre failles documentées a un score de gravité CVSS de 9,8 sur 10, ce qui rend encore plus urgent pour les entreprises d'appliquer les correctifs disponibles.

Un avis de la société de Palo Alto, en Californie, décrit les failles - CVE-2022-31706, CVE-2022-31704, CVE-2022-31710 et CVE-2022-31711 - comme des problèmes de traversée de répertoire et de rupture du contrôle d'accès ayant des implications dangereuses.

La société a également fourni des correctifs pour une autre vulnérabilité de désérialisation qui expose les utilisateurs de vRealize Log Insight à des attaques par déni de service. 

VMware a également corrigé un problème de divulgation d'informations qui permettait aux attaquants de collecter à distance des informations sensibles sur les sessions et les applications sans authentification.