VMware
ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades
en VMware vRealize Automation y vRealize Business Advanced y Enterprise, que podrían permitir realizar ataques de
cross-site scripting almacenados.
Los problemas afectan a VMware
vRealize Automation 6.x anteriores a 6.2.4 (CVE-2015-2344)
y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-2016-2075).
En ambos casos se trata de la modalidad más grave de ataques cross-site scripting
y la explotación podría dar lugar al compromiso de la estación de trabajo cliente
de usuario vRA o vRB.
Los cross-site scripting almacenados
o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente se producen al no comprobar los datos de
entrada en una web, normalmente
formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript
que quedará almacenado en la base de datos y cuando un usuario legítimo visite
la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la
web legítima).
Se han publicado las siguientes
actualizaciones para corregir el problema en todas las versiones afectadas:
VMware
vRealize Automation 6.2.4
VMware
vRealize Business Advanced and Enterprise 8.2.5
Más información:
VMSA-2016-0003
VMware vRealize Automation and vRealize
Business Advanced and Enterprise address Cross-Site Scripting (XSS) issues
Antonio Ropero
No hay comentarios:
Publicar un comentario