lunes, 21 de marzo de 2016

Cross-site scripting en productos VMware vRealize

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware vRealize Automation y vRealize Business Advanced y Enterprise, que podrían permitir realizar ataques de cross-site scripting almacenados.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Los problemas afectan a VMware vRealize Automation 6.x anteriores a 6.2.4 (CVE-2015-2344) y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-2016-2075). En ambos casos se trata de la modalidad más grave de ataques cross-site scripting y la explotación podría dar lugar al compromiso de la estación de trabajo cliente de usuario vRA o vRB.

Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente  se producen al no comprobar los datos de entrada en  una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).

Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:
VMware vRealize Automation 6.2.4
VMware vRealize Business Advanced and Enterprise 8.2.5

Más información:

VMSA-2016-0003
VMware vRealize Automation and vRealize Business Advanced and Enterprise address Cross-Site Scripting (XSS) issues


                                                                                                  
Antonio Ropero


No hay comentarios:

Publicar un comentario en la entrada