XXE en productos VMWare

Fecha de publicación:

24/11/2016

Importancia:

4 - Alta

Recursos afectados:

vSphere Client 5.5 y 6.0
vCenter Server 5.5 y 6.0
vRealize Automation 6.x

Descripción:

Se han corregido tres vulnerabilidades de importancia alta en diferentes productos VMWare.

Solución:

Actualizar a:

vSphere Client 5.5 U3e ó 6.0 U2a
vCenter Server 5.5 U3e ó 6.0 U2a
vRealize 6.2.5

Detalle:

Entidad Externa XML (XXE) en vSphere Client (CVE-2016-7458): Esta vulnerabilidad permite obtener información sensible si el cliente conecta a una instancia maliciosa de vCenter o ESXi.

Entidad Externa XML (XXE) en vCenter Server (CVE-2016-7459): Esta vulnerabilidad permite obtener información sensible si el vCenter recibe una petición XML manipulada.

Entidad Externa XML en vRealize Automation (CVE-2016-7460): Esta vulnerabilidad permite causar una denegación de servicio si vCenter recibe una petición XML manipulada.

Referencias:

VMSA-2016-0022

Etiquetas:

Accesos corporativos

XXE en productos VMWare

Vulnerabilidad de inyección SQL a través de Django

Múltiples vulnerabilidades en GitLab

Múltiples vulnerabilidades en productos Netgear

Ejecución arbitraria de código en IBM CICS TX

Divulgación de información sensible en HPE NonStop DSM/SCM