VMware vCenter Server termékek sérülékenységei

CH azonosító

CH-9058

Angol cím

VMware vCenter Server Products Multiple Vulnerabilities

Felfedezés dátuma

2013.04.25.

Súlyosság

Magas

Érintett rendszerek

VMware
vCenter Server
vCenter Server Appliance

Érintett verziók

VMware vCenter Server 5.x
VMware vCenter Server Appliance 5.x

Összefoglaló

A VMware vCenter Server termékek több sérülékenysége vált ismertté, amelyeket kihasználva a rosszindulatú felhasználók megkerülhetnek bizonyos biztonsági szabályokat és feltörhetik a sérülékeny rendszert, a támadók bizalmas információkat fedhetnek fel, manipulálhatnak bizonyos adatokat, megkerülhetnek bizonyos biztonsági szabályokat, szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő és feltörhetik a sérülékeny rendszert.

Leírás

  1. Az anonymous LDAP kötéssel használt Active Directory (AD) hitelesítési mechanizmus nem megfelelően ellenőrzi a felhasználói adatokat. Ez kihasználható a hitelesítés megkerülésére és tetszőleges felhasználóként történő bejelentkezésre egy érvényes felhasználó név és üres jelszó megadásával.
  2. A Virtual Appliance Management Interface (VAMI) sérülékenysége kihasználható meglévő fájlok root felhasználóként történő futtatására.
  3. A Virtual Appliance Management Interface (VAMI) sérülékenysége kihasználható káros tartalmú fájlok tetszőleges helyre történő feltöltésére.
  4. Az alkalmazás a Java egy sérülékeny verzióját futtatja, amelyről további információ az alábbi hivatkozáson található:
    CERT-Hungary CH-7787
  5. Az alkalmazás az Apache Tomcat egy sérülékeny verzióját futtatja, amelyről további információ az alábbi hivatkozásokon található:
    CERT-Hungary CH-7883
    CERT-Hungary CH-8047

A sérülékenységeket az Update 1 nélküli 5.1 verzióban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-49719 – Microsoft SQL Server Information Disclosure sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
Tovább a sérülékenységekhez »