sábado, 28 de mayo de 2016

Cross-site scripting en VMware vCenter Server

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en vCenter Server que podrían permitir a un atacante construir ataques de cross-site scripting.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Apenas una semana después de haber publicado actualizaciones para un gran número de productos por dos vulnerabilidades, VMware publica un nuevo aviso de seguridad para solucionar una vulnerabilidad considerada como importante por la propia firma.

El problema, con CVE-2016-2078, reside en el cliente web vSphere por un filtrado inadecuado de los datos introducidos por el usuario en el parámetro flash que podría permitir la construcción de ataques de cross-site scripting.

Afecta a versiones vCenter Server 6.0, 5.5 y 5.1 para Windows.
VMware ha publicado las siguientes actualizaciones:
vCenter Server 6.0 update 2
vCenter Server 5.5 update 3d
vCenter Server 5.1 update 3d
Disponibles desde vCenter Server:

Más información:

VMSA-2016-0006
VMware vCenter Server updates address an important cross-site scripting issue

una-al-dia (21/05/2016) Actualización para múltiples productos VMware



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada