Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/01/2018
Els productes de Vmware, vRealize Automation i vSphere Integrated Contenidors, pateixen una vulnerabilitat de deserialització a través de Xenó. Un atacant remot podria aprofitar aquesta vulnerabilitat enviant informació elaborada i serialitzada al sistema afectat, permetent executar codi arbitrari en el sistema de destinació.
L'impacte d'explotació per a aquesta vulnerabilitat es menor en els entorns que restringeixen l'accés a la xarxa des de fonts que no són de confiança.
Por una altra part, tenim la vulnerabilitat que afecta VMware AirWatch Consuelo, aquesta vulnerabilitat podria permetre que un atacant remot no autenticat realitze atacs de falsificació Cross Site Request Forgery en un sistema específic, enganyant l'usuari perquè instal·lara aplicacions malicioses en el dispositiu.
Sistemes Afectats:vRealize Automation (vRA)
vSphere Integrated Containers (VIC)
VMware AirWatch Console (AWC)
CVE-2017-4947, CVE-2017-4951
Solució:Actualitzar els productes desplegats: