Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/01/2018
Los productos de Vmware, vRealize Automation y vSphere Integrated Containers, sufren una vulnerabilidad de deserialización a través de Xenon. Un atacante remoto podría aprovechar esta vulnerabilidad enviando información elaborada y serializada al sistema afectado permitiendo ejecutar código arbitrario en el sistema de destino.
El impacto de explotación para esta vulnerabilidad es menor en los entornos que restringen el acceso a la red desde fuentes que no son de confianza.
Por otra parte tenemos la vulnerabilidad que afecta a VMware AirWatch Console, esta vulnerabilidad podría permitir que un atacante remoto no autenticado realice ataques de falsificación Cross Site Request Forgery en un sistema específico, engañando al usuario para que instalase aplicaciones maliciosas en el dispositivo.
Sistemas Afectados:vRealize Automation (vRA),
vSphere Integrated Containers (VIC)
VMware AirWatch Console (AWC)
CVE-2017-4947, CVE-2017-4951
Solución:Actualizar los productos desplegados: