Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

VMware parchea vulnerabilidades de Cloud Foundation en XStream Open Source Library

27 Oct 2022

INTRODUCCIÓN

VMware publica parches para las versiones finales de Cloud Foundation Network Security Virtualization for vSphere (NSX-V) para solucionar una vulnerabilidad crítica en una biblioteca de código abierto (CVE-2021-39144) . Y una vulnerabilidad de entidad externa XML (XXE) (CVE-2021-31678)

ANÁLISIS

El 25 de octubre, VMware publicó VMSA-2022-0027, un aviso sobre múltiples vulnerabilidades en su solución VMware Cloud Foundation.

CVE-2021-39144 es una vulnerabilidad de ejecución remota de código en XStream, una biblioteca de código abierto utilizada para la serialización de objetos. Esta vulnerabilidad fue parcheada originalmente el 22 de agosto de 2021 en la versión 1.4.18 de XStream. VMware Cloud Foundation utiliza XStream para la serialización de entradas en su solución Network Security Virtualization for vSphere (NSX-V). Un atacante podría explotar esta vulnerabilidad apuntando a un punto final no autenticado en NSX-V para obtener privilegios de ejecución de código remoto como root. CVSSv3: 9,8

CVE-2022-31678 es una vulnerabilidad XXE en VMware Cloud Foundation NSX-V. Un atacante remoto no autenticado podría aprovechar esta vulnerabilidad para provocar una condición de denegación de servicio o causar una divulgación de información no intencionada. Se trata de una vulnerabilidad de calificación moderada, con una puntuación CVSSv3 de 5,3.

Versiones afectadas:

  • VMware Cloud Foundation anterior a 3.9.1
  • VMware Cloud Foundation 3.9.1 y superior

RECOMENDACIONES

Para VMware Cloud Foundation anterior a 3.9.1 : Actualice a VMware Cloud Foundation 3.11.0.1 y superior y aplique las instrucciones de solución

Para VMware Cloud Foundation 3.11.0.1 y superior y aplique las instrucciones de solución

Instrucciones de solución:

Seguir el apartado "Workaround" del último link.

REFERENCIAS

https://www.tenable.com/blog/cve-2021-39144-vmware-patches-critical-cloud-foundation-vulnerability-in-xstream-open-source
https://www.vmware.com/security/advisories/VMSA-2022-0027.html
https://kb.vmware.com/s/article/89809

Artículos relacionados
Vulnerabilidades en productos de Cisco 2025
Leer más →
Vulnerabilidades en SAP NetWeaver AS Java 2025
Leer más →
Vulnerabilidades en SureTriggers 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día