VMware VIX API VM Direct Access funkció biztonsági hibája

CH azonosító

CH-14162

Angol cím

VMware VIX API VM Direct Access Function security issue

Felfedezés dátuma

2017.07.26.

Súlyosság

Közepes

Érintett rendszerek

VMware
vCenter Server

Érintett verziók

vCenter Server 5.5, 6.0, 6.5

Összefoglaló

A VMware vCenter Server sérülékenységét jelentették, amelyet kihasználva egy korlátozott jogosultságokkal rendelkező, hitelesített vSphere felhasználó direkt módon, további hitelesítés nélkül hozzáférhet egy vendég operációs rendszerhez.

Leírás

A VMware VIX API direkt hozzáférést biztosít a vendég operációs rendszerhez, amelyet jellemzően a VMware Site Recovery Manager, VMware Update Manager és a VMware Infrastructure Navigator használ.

Ez a funkció elérhető limitált jogosultságokkal bíró vSphere felhasználók számára is, ha az alábbi jogokkal rendelkeznek:

  • Virtual Machine -> Configuration -> Advanced            
  • Virtual Machine -> Interaction ->Guest Operating System Management by VIX API                   
  • Host -> Configuration -> Advanced Settings

Megoldás

Alkalmazza a gyártó által közzétett megkerülő megoldást:

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2151027


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »