VMWare vCenter Server, vRealize Automation, vSphere Client és Server (XXE és DoS) sérülékenységek

CH azonosító

CH-13727

Angol cím

VMware vCenter Server, vRealize Automation, vSphere Client & Server (XXE and DoS) vulnerabilities

Felfedezés dátuma

2016.11.21.

Súlyosság

Magas

Érintett rendszerek

VMware

Érintett verziók

VMWare vCenter Server 5.5, 6.0
VMWare vSphere Client 5.5, 6.0
VMWare vRealize Automation 6.x

Összefoglaló

A VMWare termékek magas kockázati besorolású sérülékenységei lehetővé teszik a támadó számára, hogy érzékeny információkat szerezzen a rendszerről, valamint szolgáltatásmegtagadásra ad lehetőséget.

Leírás

A vSphere Client XML External Entity (XXE) sérülékenységének kihasználásához a támadó a vSphere Client felhasználót ráveszi egy kártékony vCenter Server vagy ESXi példányhoz való csatlakozásra.

A vCenter Server a Log Browser, a Distributed Switch setup és a Content Library komponensben tartalmaz XML External Entity (XXE) sérülékenységet.

A vCenter Server és a vRealize Automation a Single Sign-On funkciójában jelentettek további XML External Entity (XXE) sérülékenységet.

Megoldás

Telepítse a javítócsomagokat

Megoldás

VMWare vSphere Client 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Client 5.5 frissítése 5.5 U3e verzióra

VMWare vSphere Server 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Server 5.5 frissítése 5.5 U3e verzióra

VMWare vCenter Server 6.0 frissítése 6.0 U2e verzióra

VMWare vCenter Server 5.5 frissítése 5.5 U3e verzióra

VMWare vRealize Automation 6.x frissítése 6.2.5 verzióra


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-1268 – Canon sebezhetősége
CVE-2025-2783 – Google Chromium Mojo Sandbox Escape sebezhetősége
CVE-2024-20439 – Cisco Smart Licensing Utility Static Credential sebezhetősége
CVE-2025-22228 – Spring Security BCryptPasswordEncoder sebezhetősége
CVE-2025-26630 – Microsoft Access RCE sebezhetősége
CVE-2025-30154 – reviewdog/action-setup GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-30066 – tj-actions/changed-files GitHub Action Embedded Malicious Code sebezhetősége
CVE-2025-24472 – Fortinet FortiOS and FortiProxy Authentication Bypass sebezhetősége
CVE-2017-12637 – SAP NetWeaver Directory Traversal sebezhetősége
Tovább a sérülékenységekhez »