Múltiples vulnerabilidades en VMware vSphere Data Protection
Fecha de publicación:
03/01/2018
Importancia:
5 -
Crítica
Recursos afectados:
vSphere Data Protection (VDP) de las versiones 6.1.x, 6.0.x y 5.x
Descripción:
Se han identificado tres vulnerabilidades críticas en VMware vSphere Data Protection que pueden ser aprovechadas por un atacante remoto para realizar acciones no autorizadas.
Solución:
VMware ha publicado diferentes parches para corregir los fallos:
Detalle:
A continuación se indican las vulnerabilidades identificadas:
- Evasión de autenticación: Un usuario remoto, de forma malintencionada, podría evitar autenticarse en la aplicación y obtener acceso como usuario con máximos privilegios a los sistemas afectados. Para esta vulnerabilidad se ha asignado el CVE-2017-15548.
- Subida de ficheros: Un usuario remoto con bajos privilegios, de forma malintencionada, podría subir ficheros en cualquier ubicación del sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15549.
- Salto de directorio: Un usuario remoto con bajos privilegios, de forma malintencionada, podría acceder a archivos arbitrarios en el sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15550.
Referencias: