Vulnerabilidad en vSphere Web Client de VMware

Fecha de publicación:

26/05/2016

Importancia:

4 - Alta

Recursos afectados:

vCenter Server 6.0 anterior a 6.0 update 2
vCenter Server 5.5 anterior a 5.5 update 3d
vCenter Server 5.1 anterior a 5.1 update 3d

Descripción:

Se ha detectado una vulnerabilidad de cross-site scripting (XSS) indirecto en vSphere Web Client.

Solución:

Para solucionar esta vulnerabilidad, se realiza a través de las actualizaciones para VMware vCenter Server.

Se debe actualizar a la ultima versión o aplicar los parches listados en la web del fabricante.

Detalle:

XSS indirecto (importante): el cliente web de vSphere contiene una vulnerabilidad de XSS indirecto a través de la inyección de un parámetro de flash. Esta vulnerabilidad se puede explotar mediante un enlace manipulado.

Se ha reservado el identificador CVE-2016-2078 para esta vulnerabilidad.

Referencias:

VMware vCenter Server updates address an important cross-site scripting issue

Etiquetas:

Accesos corporativos

Vulnerabilidad en vSphere Web Client de VMware

Ejecución de comandos como root en IBM Spectrum Scale

Vulnerabilidad en dispositivos DrayTek

Omisión de restricción de acceso remoto en productos HPE

Desbordamiento de búfer en algunas aplicaciones Aspera de IBM

Vulnerabilidad de falta de seguridad del protocolo DTLS en GnuTLS