Múltiples vulnerabilidades en VMware vSphere Data Protection

Fecha de publicación:

03/01/2018

Importancia:

5 - Crítica

Recursos afectados:

vSphere Data Protection (VDP) de las versiones 6.1.x, 6.0.x y 5.x

Descripción:

Se han identificado tres vulnerabilidades críticas en VMware vSphere Data Protection que pueden ser aprovechadas por un atacante remoto para realizar acciones no autorizadas.

Solución:

VMware ha publicado diferentes parches para corregir los fallos:

Detalle:

A continuación se indican las vulnerabilidades identificadas:

Evasión de autenticación: Un usuario remoto, de forma malintencionada, podría evitar autenticarse en la aplicación y obtener acceso como usuario con máximos privilegios a los sistemas afectados. Para esta vulnerabilidad se ha asignado el CVE-2017-15548.
Subida de ficheros: Un usuario remoto con bajos privilegios, de forma malintencionada, podría subir ficheros en cualquier ubicación del sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15549.
Salto de directorio: Un usuario remoto con bajos privilegios, de forma malintencionada, podría acceder a archivos arbitrarios en el sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15550.

Referencias:

VMSA-2018-0001

Etiquetas:

Accesos corporativos

Múltiples vulnerabilidades en VMware vSphere Data Protection

Múltiples vulnerabilidades en productos de Cisco

Vulnerabilidad en el core de Drupal

Actualizaciones críticas en Oracle (enero 2021)

Vulnerabilidad en Dnsmasq

Múltiples vulnerabilidades en AirWave Glass de Aruba