A VMware vSphere Web Client biztonsági rése


2017. november 13. 09:35

CH azonosító

CH-14288

Angol cím

VMware vSphere Web Client URL Validation Information Disclosure Vulnerability

Felfedezés dátuma

2017.11.09.

Súlyosság

Közepes

Érintett rendszerek

VMware
vCenter Server

Érintett verziók

VMware, Inc. vCenter Server 5.5 (Base, Update 1, Update 2, Update 3a, Update 3b, Update 3c) | 6.0 (Base, Update 1, Update 2, Update 2a, Update 3, Update 3a, Update 3b)

Összefoglaló

A VMware vSphere Web Client egy közepes kockázati besorolású sérülékenysége vált ismerté, mely lehetővé teheti egy hitelesített, távoli támadó számára, hogyérzékeny információkhoz férjen hozzá.

Leírás

A sérülékenység oka az, hogy az érintett szoftver nem kezeli megfelelően URL-eket. A támadó ezt a biztonsági rést kihasználva módosított fejléceket tartalmazó, káros POST-kéréseket küldhet egy rendszer irányába. A sikeres támadás lehetővé teheti a támadó számára, hogy hozzáférjen a támadott rendszer érzékeny információihoz, amelyek további támadások elvégzésére használhatóak fel.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Input Validation

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: tools.cisco.com
CVE-2017-4928 - NVD CVE-2017-4928

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-4078 – Microsoft Exchange szerver sérülékenység
CVE-2025-6170 – Red Hat sebezhetősége
CVE-2025-6021 – Red Hat sebezhetősége
CVE-2025-49796 – Red Hat sebezhetősége
CVE-2025-5777 – Citrix NetScaler sebezhetősége
CVE-2025-49825 – Teleport sebezhetősége
CVE-2025-4322 – WordPress sérülékenység
CVE-2025-37091 – HPE StoreOnce Remote Code Execution sebezhetősége
CVE-2025-37093 – HPE StoreOnce Authentication Bypass sebezhetősége
Tovább a sérülékenységekhez »