CVE-2024-22256
https://notcve.org/view.php?id=CVE-2024-22256
VMware Cloud Director contains a partial information disclosure vulnerability. A malicious actor can potentially gather information about organization names based on the behavior of the instance. VMware Cloud Director contiene una vulnerabilidad de divulgación parcial de información. Un actor malintencionado puede potencialmente recopilar información sobre los nombres de las organizaciones en función del comportamiento de la instancia. • https://www.vmware.com/security/advisories/VMSA-2024-0007.html •
CVE-2024-22250 – Session Hijack Vulnerability in Deprecated EAP Browser Plugin
https://notcve.org/view.php?id=CVE-2024-22250
Session Hijack vulnerability in Deprecated VMware Enhanced Authentication Plug-in could allow a malicious actor with unprivileged local access to a windows operating system can hijack a privileged EAP session when initiated by a privileged domain user on the same system. La vulnerabilidad de secuestro de sesión en el obsoleto complemento de autenticación mejorada de VMware podría permitir que un actor malicioso con acceso local sin privilegios a un sistema operativo Windows pueda secuestrar una sesión EAP privilegiada cuando la inicia un usuario de dominio privilegiado en el mismo sistema. • https://www.vmware.com/security/advisories/VMSA-2024-0003.html • CWE-384: Session Fixation •
CVE-2024-22245 – Arbitrary Authentication Relay Vulnerability in Deprecated EAP Browser Plugin
https://notcve.org/view.php?id=CVE-2024-22245
Arbitrary Authentication Relay and Session Hijack vulnerabilities in the deprecated VMware Enhanced Authentication Plug-in (EAP) could allow a malicious actor that could trick a target domain user with EAP installed in their web browser into requesting and relaying service tickets for arbitrary Active Directory Service Principal Names (SPNs). Las vulnerabilidades de retransmisión de autenticación arbitraria y secuestro de sesión en el obsoleto complemento de autenticación mejorada (EAP) de VMware podrían permitir que un actor malicioso engañe a un usuario de dominio de destino con EAP instalado en su navegador web para que solicite y retransmita tickets de servicio para un principal de Active Directory Service Principal Names (SPNs). • https://www.vmware.com/security/advisories/VMSA-2024-0003.html • CWE-287: Improper Authentication •
CVE-2024-22241
https://notcve.org/view.php?id=CVE-2024-22241
Aria Operations for Networks contains a cross site scripting vulnerability. A malicious actor with admin privileges can inject a malicious payload into the login banner and takeover the user account. Aria Operations for Networks contiene una vulnerabilidad de cross-site scripting. Un actor malintencionado con privilegios de administrador puede inyectar un payload malicioso en el banner de inicio de sesión y apoderarse de la cuenta del usuario. • https://www.vmware.com/security/advisories/VMSA-2024-0002.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2024-22240
https://notcve.org/view.php?id=CVE-2024-22240
Aria Operations for Networks contains a local file read vulnerability. A malicious actor with admin privileges may exploit this vulnerability leading to unauthorized access to sensitive information. Aria Operations for Networks contiene una vulnerabilidad de lectura de archivos locales. Un actor malintencionado con privilegios de administrador puede aprovechar esta vulnerabilidad y provocar acceso no autorizado a información confidencial. • https://www.vmware.com/security/advisories/VMSA-2024-0002.html • CWE-552: Files or Directories Accessible to External Parties •