Cross-site scripting en productos VMware vRealize

VMware ha publicado actualizaciones de seguridad para corregir dos vulnerabilidades en VMware vRealize Automation y vRealize Business Advanced y Enterprise, que podrían permitir realizar ataques de cross-site scripting almacenados.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

Los problemas afectan a VMware vRealize Automation 6.x anteriores a 6.2.4 (CVE-2015-2344) y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-2016-2075). En ambos casos se trata de la modalidad más grave de ataques cross-site scripting y la explotación podría dar lugar al compromiso de la estación de trabajo cliente de usuario vRA o vRB.

Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente se producen al no comprobar los datos de entrada en una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).

Se han publicado las siguientes actualizaciones para corregir el problema en todas las versiones afectadas:
VMware vRealize Automation 6.2.4
https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/6_2

VMware vRealize Business Advanced and Enterprise 8.2.5
https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_business/8_2

Más información:

VMSA-2016-0003
VMware vRealize Automation and vRealize Business Advanced and Enterprise address Cross-Site Scripting (XSS) issues
http://www.vmware.com/security/advisories/VMSA-2016-0003.html

Extracto Obtenido de HISPASEC.COM

Cross-site scripting en productos VMware vRealize

Publicar un comentario

0 Comentarios

Colaboradores

Seguidores

Translate

Formulario de contacto

Categories

Recent Comments

Popular Posts

Barra de progreso en comando dd

Tarea Programada reinicio de servicios (Scheduler Windows)

Enlaces duros y enlaces simbólicos Linux - LPI 101

Paling Dilihat

Facebook

Buscar este blog

Random Posts

Recent Posts

Menu Footer Widget

Cross-site scripting en productos VMware vRealize

Tal vez te interesen estas entradas

Publicar un comentario

0 Comentarios

Colaboradores

Subcripciones

Seguidores

Translate

Formulario de contacto

Categories

Recent Comments

Redes Sociales

Popular Posts

Barra de progreso en comando dd

Tarea Programada reinicio de servicios (Scheduler Windows)

Enlaces duros y enlaces simbólicos Linux - LPI 101

Paling Dilihat

Facebook

Buscar este blog

Random Posts

Recent Posts

Menu Footer Widget