XXE en productos VMWare

Fecha de publicación:

24/11/2016

Importancia:

4 - Alta

Recursos afectados:

vSphere Client 5.5 y 6.0
vCenter Server 5.5 y 6.0
vRealize Automation 6.x

Descripción:

Se han corregido tres vulnerabilidades de importancia alta en diferentes productos VMWare.

Solución:

Actualizar a:

vSphere Client 5.5 U3e ó 6.0 U2a
vCenter Server 5.5 U3e ó 6.0 U2a
vRealize 6.2.5

Detalle:

Entidad Externa XML (XXE) en vSphere Client (CVE-2016-7458): Esta vulnerabilidad permite obtener información sensible si el cliente conecta a una instancia maliciosa de vCenter o ESXi.

Entidad Externa XML (XXE) en vCenter Server (CVE-2016-7459): Esta vulnerabilidad permite obtener información sensible si el vCenter recibe una petición XML manipulada.

Entidad Externa XML en vRealize Automation (CVE-2016-7460): Esta vulnerabilidad permite causar una denegación de servicio si vCenter recibe una petición XML manipulada.

Referencias:

VMSA-2016-0022

Etiquetas:

Accesos corporativos

XXE en productos VMWare

Vulnerabilidad de desbordamiento de búfer en múltiples productos HP

Múltiples vulnerabilidades en Avalanche de Ivanti

Múltiples vulnerabilidades en productos de HPE

Vulnerabilidades XSS en el core de Drupal

Múltiples vulnerabilidades en TIBCO PartnerExpress