VMWare vCenter Server, vRealize Automation, vSphere Client és Server (XXE és DoS) sérülékenységek

CH azonosító

CH-13727

Angol cím

VMware vCenter Server, vRealize Automation, vSphere Client & Server (XXE and DoS) vulnerabilities

Felfedezés dátuma

2016.11.21.

Súlyosság

Magas

Érintett rendszerek

VMware

Érintett verziók

VMWare vCenter Server 5.5, 6.0
VMWare vSphere Client 5.5, 6.0
VMWare vRealize Automation 6.x

Összefoglaló

A VMWare termékek magas kockázati besorolású sérülékenységei lehetővé teszik a támadó számára, hogy érzékeny információkat szerezzen a rendszerről, valamint szolgáltatásmegtagadásra ad lehetőséget.

Leírás

A vSphere Client XML External Entity (XXE) sérülékenységének kihasználásához a támadó a vSphere Client felhasználót ráveszi egy kártékony vCenter Server vagy ESXi példányhoz való csatlakozásra.

A vCenter Server a Log Browser, a Distributed Switch setup és a Content Library komponensben tartalmaz XML External Entity (XXE) sérülékenységet.

A vCenter Server és a vRealize Automation a Single Sign-On funkciójában jelentettek további XML External Entity (XXE) sérülékenységet.

Megoldás

Telepítse a javítócsomagokat

Megoldás

VMWare vSphere Client 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Client 5.5 frissítése 5.5 U3e verzióra

VMWare vSphere Server 6.0 frissítése 6.0 U2a verzióra

VMWare vSphere Server 5.5 frissítése 5.5 U3e verzióra

VMWare vCenter Server 6.0 frissítése 6.0 U2e verzióra

VMWare vCenter Server 5.5 frissítése 5.5 U3e verzióra

VMWare vRealize Automation 6.x frissítése 6.2.5 verzióra


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-7656 – Google Chrome sérülékenysége
CVE-2025-6541 – TP-Link sérülékenysége
CVE-2025-61884 – Oracle E-Business Suite Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2025-2747 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2025-2746 – Kentico Xperience CMS Authentication Bypass Using an Alternate Path or Channel sérülékenysége
CVE-2022-48503 – Apple Multiple Products Unspecified sérülékenysége
CVE-2025-61932 – Motex LANSCOPE Endpoint Manager sérülékenysége
CVE-2025-54957 – Dolby UDC out-of-bounds write sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
Tovább a sérülékenységekhez »