Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/04/2018
Múltiples vulnerabilidades en VMware vRealize Automation
Se han detectado dos vulnerablidades que podrían permitir comprometer el equipo del usuario o el secuestro de la sesión del mismo.Este software de VMware está destinado a ser una plataforma orientada a la gestión en la nube.
Esta parte del mismo se encarga de automatizar tareas relacionadas con gestión y adminsitración de la misma desde un panel web.
La primera de ellas se trata de un XSS persisntente capaz de introducir código Javascript en la consola de administración dado que el sitio no limpia adecuadamente la entrada de datos por parte de un usuario.
La segunda expone un problema en el manejo de sesiones por parte del sitio, ya que según se ha investigado la creación de sesiones por parte del sitio forma parte de un patrón y esto hace posible el secuestro delas mismas.
Ambas vulnerabilidades han sido corregidas según indica el boletín informativo publicado por VMWare.
Sistemas Afectados:
VMware vRealize Automation < 7.4.0
VMware vRealize Automation < 7.3.0
VMware vRealize Automation 7.2.X
VMware vRealize Automation 7.1.X
VMware vRealize Automation 7.0.X
Referencias:
CVE-2018-6958, CVE-2018-6959
Solución:Aplicar los parches de seguridad VMware vRealize Automation 7.4.0 o VMware vRealize Automation 7.3.1
Notas: