XXE en productos VMWare
Fecha de publicación:
24/11/2016
Importancia:
4 -
Alta
Recursos afectados:
- vSphere Client 5.5 y 6.0
- vCenter Server 5.5 y 6.0
- vRealize Automation 6.x
Descripción:
Se han corregido tres vulnerabilidades de importancia alta en diferentes productos VMWare.
Solución:
Actualizar a:
- vSphere Client 5.5 U3e ó 6.0 U2a
- vCenter Server 5.5 U3e ó 6.0 U2a
- vRealize 6.2.5
Detalle:
Entidad Externa XML (XXE) en vSphere Client (CVE-2016-7458): Esta vulnerabilidad permite obtener información sensible si el cliente conecta a una instancia maliciosa de vCenter o ESXi.
Entidad Externa XML (XXE) en vCenter Server (CVE-2016-7459): Esta vulnerabilidad permite obtener información sensible si el vCenter recibe una petición XML manipulada.
Entidad Externa XML en vRealize Automation (CVE-2016-7460): Esta vulnerabilidad permite causar una denegación de servicio si vCenter recibe una petición XML manipulada.
Referencias: