Alerta de Vulnerabilidades - VMware Cloud Foundation
A VMware publicou uma atualização de segurança que corrige duas vulnerabilidades (CVE-2021-39144 e CVE-2022-31678), uma delas crítica. Estas vulnerabilidades afetam os ambientes VMware Cloud Foundation em todas as versões 3.x e instâncias VMware NSX-V nas versões anteriores a 6.4.14.
A vulnerabilidade RCE (CVE-2021-39144) afeta VMware Cloud Foundation através da biblioteca open source XStream. Por outro lado, o CVE-2022-31678 trata uma vulnerabilidade XML External Entity (XXE) de severidade moderada.
Caso estas vulnerabilidades sejam exploradas com sucesso, permitem, entre outras consequências, a um atacante a execução remota de código.
Para versões do VMware Cloud Foundation anteriores a 3.9.1, recomenda-se a atualização para a versão 3.11.0.1 (ou mais recente) e, de seguida, a aplicação dos passos mencionados na secção Workaround de [2].
Para versões do VMware Cloud Foundation posteriores a 3.9.1, recomenda-se a aplicação dos passos mencionados na secção Workaround de [2].