Cross-site scripting en VMware vCenter Server

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en vCenter Server que podrían permitir a un atacante construir ataques de cross-site scripting.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Apenas una semana después de haber publicado actualizaciones para un gran número de productos por dos vulnerabilidades, VMware publica un nuevo aviso de seguridad para solucionar una vulnerabilidad considerada como importante por la propia firma.

El problema, con CVE-2016-2078, reside en el cliente web vSphere por un filtrado inadecuado de los datos introducidos por el usuario en el parámetro flash que podría permitir la construcción de ataques de cross-site scripting.

Afecta a versiones vCenter Server 6.0, 5.5 y 5.1 para Windows.

VMware ha publicado las siguientes actualizaciones:

vCenter Server 6.0 update 2

vCenter Server 5.5 update 3d

vCenter Server 5.1 update 3d

Disponibles desde vCenter Server:

https://www.vmware.com/go/download-vsphere

Más información:

VMSA-2016-0006

VMware vCenter Server updates address an important cross-site scripting issue

http://www.vmware.com/security/advisories/VMSA-2016-0006.html

una-al-dia (21/05/2016) Actualización para múltiples productos VMware

http://unaaldia.hispasec.com/2016/05/actualizacion-para-multiples-productos.html

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

una-al-día | Hispasec

sábado, 28 de mayo de 2016

Cross-site scripting en VMware vCenter Server

No hay comentarios:

Publicar un comentario