Inicio / Alerta Temprana / Avisos Seguridad / XXE en productos VMWare

XXE en productos VMWare

Fecha de publicación: 
24/11/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • vSphere Client 5.5 y 6.0
  • vCenter Server 5.5 y 6.0
  • vRealize Automation 6.x
Descripción: 

Se han corregido tres vulnerabilidades de importancia alta en diferentes productos VMWare.

Solución: 

Actualizar a:

  • vSphere Client 5.5 U3e ó 6.0 U2a
  • vCenter Server 5.5 U3e ó 6.0 U2a
  • vRealize 6.2.5
Detalle: 

Entidad Externa XML (XXE) en vSphere Client (CVE-2016-7458): Esta vulnerabilidad permite obtener información sensible si el cliente conecta a una instancia maliciosa de vCenter o ESXi.

Entidad Externa XML (XXE) en vCenter Server (CVE-2016-7459): Esta vulnerabilidad permite obtener información sensible si el vCenter recibe una petición XML manipulada.

Entidad Externa XML en vRealize Automation (CVE-2016-7460): Esta vulnerabilidad permite causar una denegación de servicio si vCenter recibe una petición XML manipulada.