Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07259

Опубликовано: 13 дек. 2022
Источник: fstec
CVSS3: 9.3
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость контроллера USB 2.0 (EHCI) гипервизоров VMware ESXi, VMware Workstation и VMware Fusion и платформы виртуализации VMware Cloud Foundation связана с возможностью записи за пределами буфера в куче. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код

Вендор

VMware Inc.

Наименование ПО

VMware ESXi
VMware Cloud Foundation
VMware Fusion
VMWare Workstation

Версия ПО

от 7.0 до ESXi70U3si-20841705 (VMware ESXi)
от 4.0 до KB90336 (VMware Cloud Foundation)
от 3.0 до KB90336 (VMware Cloud Foundation)
от 8.0 до ESXi80a-20842819 (VMware ESXi)
от 12.0 до 12.2.5 (VMware Fusion)
от 16.0 до 16.2.5 (VMWare Workstation)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- минимизация пользовательских привилегий;
- удаление USB-контроллера для виртуальной машины;
- использование средств антивирусной защиты.
Использование рекомендаций производителя:
https://www.vmware.com/security/advisories/VMSA-2022-0033.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 80%
0.01351
Низкий

9.3 Critical

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-31705

CVSS3: 8.2
nvd
около 3 лет назад

VMware ESXi, Workstation, and Fusion contain a heap out-of-bounds write vulnerability in the USB 2.0 controller (EHCI). A malicious actor with local administrative privileges on a virtual machine may exploit this issue to execute code as the virtual machine's VMX process running on the host. On ESXi, the exploitation is contained within the VMX sandbox whereas, on Workstation and Fusion, this may lead to code execution on the machine where Workstation or Fusion is installed.

github логотип

GHSA-jx8f-jjvw-f6vf

CVSS3: 8.2
github
около 3 лет назад

VMware ESXi, Workstation, and Fusion contain a heap out-of-bounds write vulnerability in the USB 2.0 controller (EHCI). A malicious actor with local administrative privileges on a virtual machine may exploit this issue to execute code as the virtual machine's VMX process running on the host. On ESXi, the exploitation is contained within the VMX sandbox whereas, on Workstation and Fusion, this may lead to code execution on the machine where Workstation or Fusion is installed.

EPSS

Процентиль: 80%
0.01351
Низкий

9.3 Critical

CVSS3

7.2 High

CVSS2