VMWare vCenter Server, vRealize Automation, vSphere Client és Server (XXE és DoS) sérülékenységek

CH azonosító

CH-13727

Angol cím

VMware vCenter Server, vRealize Automation, vSphere Client & Server (XXE and DoS) vulnerabilities

Felfedezés dátuma

2016.11.21.

Súlyosság

Magas

Érintett rendszerek

VMware

Érintett verziók

VMWare vCenter Server 5.5, 6.0
VMWare vSphere Client 5.5, 6.0
VMWare vRealize Automation 6.x

Összefoglaló

A VMWare termékek magas kockázati besorolású sérülékenységei lehetővé teszik a támadó számára, hogy érzékeny információkat szerezzen a rendszerről, valamint szolgáltatásmegtagadásra ad lehetőséget.

Leírás

A vSphere Client XML External Entity (XXE) sérülékenységének kihasználásához a támadó a vSphere Client felhasználót ráveszi egy kártékony vCenter Server vagy ESXi példányhoz való csatlakozásra.

A vCenter Server a Log Browser, a Distributed Switch setup és a Content Library komponensben tartalmaz XML External Entity (XXE) sérülékenységet.

A vCenter Server és a vRealize Automation a Single Sign-On funkciójában jelentettek további XML External Entity (XXE) sérülékenységet.

Megoldás

Telepítse a javítócsomagokat

Megoldás

VMWare vSphere Client 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Client 5.5 frissítése 5.5 U3e verzióra

VMWare vSphere Server 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Server 5.5 frissítése 5.5 U3e verzióra

VMWare vCenter Server 6.0 frissítése 6.0 U2e verzióra

VMWare vCenter Server 5.5 frissítése 5.5 U3e verzióra

VMWare vRealize Automation 6.x frissítése 6.2.5 verzióra


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »