XXE en productos VMWare

Fecha de publicación:

24/11/2016

Importancia:

4 - Alta

Recursos afectados:

vSphere Client 5.5 y 6.0
vCenter Server 5.5 y 6.0
vRealize Automation 6.x

Descripción:

Se han corregido tres vulnerabilidades de importancia alta en diferentes productos VMWare.

Solución:

Actualizar a:

vSphere Client 5.5 U3e ó 6.0 U2a
vCenter Server 5.5 U3e ó 6.0 U2a
vRealize 6.2.5

Detalle:

Entidad Externa XML (XXE) en vSphere Client (CVE-2016-7458): Esta vulnerabilidad permite obtener información sensible si el cliente conecta a una instancia maliciosa de vCenter o ESXi.

Entidad Externa XML (XXE) en vCenter Server (CVE-2016-7459): Esta vulnerabilidad permite obtener información sensible si el vCenter recibe una petición XML manipulada.

Entidad Externa XML en vRealize Automation (CVE-2016-7460): Esta vulnerabilidad permite causar una denegación de servicio si vCenter recibe una petición XML manipulada.

Referencias:

VMSA-2016-0022

Etiquetas:

Accesos corporativos

XXE en productos VMWare

Vulnerabilidad en el core de Drupal

Actualizaciones críticas en Oracle (abril 2021)

Múltiples vulnerabilidades en ClearPass de Aruba

Vulnerabilidad XSS en TIBCO Administrator

Múltiples vulnerabilidades 0day en SonicWall Email Security