Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/04/2018
Múltiples vulnerabilitats en VMware vRealize Automation
S'han detectat dues vulnerabilitats que podrien permetre comprometre l'equip de l'usuari o el segrest de la sessió d’aquest.Aquest programari de VMware està destinat a ser una plataforma orientada a la gestió en el núvol.
Aquesta part del mateix s'encarrega d'automatitzar tasques relacionades amb gestió i la seua administració des d'un panell web.
La primera d'aquestes es tracta d'un XSS persistent capaç d'introduir codi Javascript en la consola d'administració atès que el lloc no neteja adequadament l'entrada de dades per part d'un usuari.
La segona exposa un problema en el maneig de sessions per part del lloc, ja que segons s'ha investigat la creació de sessions per part del lloc forma part d'un patró i això fa possible segrestar-lo.
Ambdues vulnerabilitats han sigut corregides segons indica el butlletí informatiu publicat per VMWare.
Sistemes Afectats:VMware vRealize Automation < 7.4.0
VMware vRealize Automation < 7.3.0
VMware vRealize Automation 7.2.X
VMware vRealize Automation 7.1.X
VMware vRealize Automation 7.0.X
Referències:CVE-2018-6958, CVE-2018-6959
Solució:Aplicar els pegats de seguretat VMware vRealize Automation 7.4.0 o VMware vRealize Automation 7.3.1
Notes: