A VMware vSphere Web Client biztonsági rése


2017. november 13. 09:35

CH azonosító

CH-14288

Angol cím

VMware vSphere Web Client URL Validation Information Disclosure Vulnerability

Felfedezés dátuma

2017.11.09.

Súlyosság

Közepes

Érintett rendszerek

VMware
vCenter Server

Érintett verziók

VMware, Inc. vCenter Server 5.5 (Base, Update 1, Update 2, Update 3a, Update 3b, Update 3c) | 6.0 (Base, Update 1, Update 2, Update 2a, Update 3, Update 3a, Update 3b)

Összefoglaló

A VMware vSphere Web Client egy közepes kockázati besorolású sérülékenysége vált ismerté, mely lehetővé teheti egy hitelesített, távoli támadó számára, hogyérzékeny információkhoz férjen hozzá.

Leírás

A sérülékenység oka az, hogy az érintett szoftver nem kezeli megfelelően URL-eket. A támadó ezt a biztonsági rést kihasználva módosított fejléceket tartalmazó, káros POST-kéréseket küldhet egy rendszer irányába. A sikeres támadás lehetővé teheti a támadó számára, hogy hozzáférjen a támadott rendszer érzékeny információihoz, amelyek további támadások elvégzésére használhatóak fel.

Megoldás

Frissítsen a legújabb verzióra

Támadás típusa

Authentication Issues (Hitelesítés)
Input Validation

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: tools.cisco.com
CVE-2017-4928 - NVD CVE-2017-4928

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-53375 – TP-Link sérülékenysége
CVE-2025-4581 – Liferay sérülékenysége
CVE-2025-40605 – SonicWall Email Security sérülékenysége
CVE-2025-40604 – SonicWall Email Security sérülékenysége
CVE-2025-40601 – SonicWall SonicOS sérülékenység
CVE-2025-61757 – Oracle Fusion Middleware Missing Authentication for Critical Function sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-11001 – 7-Zip sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »