jueves, 22 de diciembre de 2016

Cross-site scripting en VMware vSphere Hypervisor (ESXi)

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware vSphere Hypervisor (ESXi) que podrían permitir a un atacante construir ataques de cross-site scripting.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.

El problema, con CVE-2016-7463, reside en que un atacante con permisos para administrar máquinas virtuales a través de Cliente Host ESXi, o engañando al administrador de vSphere para importar una máquina virtual específicamente manipulada, podría realizar ataques de cross-site scripting (XSS) almacenados en el Cliente Host ESXi. El problema se puede provocar en el sistema desde donde el Cliente Host ESXi se utiliza para administrar la máquina virtual especialmente diseñada.

Afecta a versiones VMware vSphere Hypervisor (ESXi) 6.0 y 5.0.
VMware ha publicado las siguientes actualizaciones:
ESXi 6.0: ESXi600-201611102-SG
ESXi 5.5: ESXi550-201612102-SG
Disponibles desde:

Más información:

VMSA-2016-0023
VMware ESXi updates address a cross-site scripting issue



Antonio Ropero

Twitter: @aropero

No hay comentarios:

Publicar un comentario