XXE en productos VMWare

Fecha de publicación:

24/11/2016

Importancia:

4 - Alta

Recursos afectados:

vSphere Client 5.5 y 6.0
vCenter Server 5.5 y 6.0
vRealize Automation 6.x

Descripción:

Se han corregido tres vulnerabilidades de importancia alta en diferentes productos VMWare.

Solución:

Actualizar a:

vSphere Client 5.5 U3e ó 6.0 U2a
vCenter Server 5.5 U3e ó 6.0 U2a
vRealize 6.2.5

Detalle:

Entidad Externa XML (XXE) en vSphere Client (CVE-2016-7458): Esta vulnerabilidad permite obtener información sensible si el cliente conecta a una instancia maliciosa de vCenter o ESXi.

Entidad Externa XML (XXE) en vCenter Server (CVE-2016-7459): Esta vulnerabilidad permite obtener información sensible si el vCenter recibe una petición XML manipulada.

Entidad Externa XML en vRealize Automation (CVE-2016-7460): Esta vulnerabilidad permite causar una denegación de servicio si vCenter recibe una petición XML manipulada.

Referencias:

VMSA-2016-0022

Etiquetas:

Accesos corporativos

XXE en productos VMWare

Boletín de seguridad de Microsoft de noviembre de 2019

Ejecución remota de código en Cisco ASA y Cisco Firepower (FTD)

Actualización de seguridad de SAP de noviembre de 2019

Múltiples vulnerabilidades en productos de Intel

Cross-site scripting (XSS) en TIBCO EBX