Múltiples vulnerabilidades en VMware vRealize Automation

17/04/2018
Se han detectado dos vulnerablidades que podrían permitir comprometer el equipo del usuario o el secuestro de la sesión del mismo.

Riesgo: Alto Alto
Sistemas afectados:

VMware vRealize Automation < 7.4.0

VMware vRealize Automation < 7.3.0

VMware vRealize Automation 7.2.X

VMware vRealize Automation 7.1.X

VMware vRealize Automation 7.0.X

 

Descripción:

Este software de VMware está destinado a ser una plataforma orientada a la gestión en la nube.

Esta parte del mismo se encarga de automatizar tareas relacionadas con gestión y adminsitración de la misma desde un panel web.

La primera de ellas se trata de un XSS persisntente capaz de introducir código Javascript en la consola de administración dado que el sitio no limpia adecuadamente la entrada de datos por parte de un usuario.

La segunda expone un problema en el manejo de sesiones por parte del sitio, ya que según se ha investigado la creación de sesiones por parte del sitio forma parte de un patrón y esto hace posible el secuestro delas mismas.

Ambas vulnerabilidades han sido corregidas según indica el boletín informativo publicado por VMWare.

 

 

Referencias (CVE):
Solución:

Aplicar los parches de seguridad VMware vRealize Automation  7.4.0 o VMware vRealize Automation  7.3.1