XXE en productos VMWare

Fecha de publicación:

24/11/2016

Importancia:

4 - Alta

Recursos afectados:

vSphere Client 5.5 y 6.0
vCenter Server 5.5 y 6.0
vRealize Automation 6.x

Descripción:

Se han corregido tres vulnerabilidades de importancia alta en diferentes productos VMWare.

Solución:

Actualizar a:

vSphere Client 5.5 U3e ó 6.0 U2a
vCenter Server 5.5 U3e ó 6.0 U2a
vRealize 6.2.5

Detalle:

Entidad Externa XML (XXE) en vSphere Client (CVE-2016-7458): Esta vulnerabilidad permite obtener información sensible si el cliente conecta a una instancia maliciosa de vCenter o ESXi.

Entidad Externa XML (XXE) en vCenter Server (CVE-2016-7459): Esta vulnerabilidad permite obtener información sensible si el vCenter recibe una petición XML manipulada.

Entidad Externa XML en vRealize Automation (CVE-2016-7460): Esta vulnerabilidad permite causar una denegación de servicio si vCenter recibe una petición XML manipulada.

Referencias:

VMSA-2016-0022

Etiquetas:

Accesos corporativos

XXE en productos VMWare

Múltiples vulnerabilidades en routers de Cisco

Vulnerabilidad CSRF en productos NETGEAR

Múltiples vulnerabilidades en FortiPortal de Fortinet

Vulnerabilidad de deserialización insegura en IBM Partner Engagement Manager

Windows Server, vulnerable a ataque de retransmisión NTLM