CH azonosító
CH-6552Angol cím
VMware vSphere Client Log Entry Script Insertion VulnerabilityFelfedezés dátuma
2012.03.15.Súlyosság
AlacsonyÉrintett rendszerek
VMwarevSphere Client
Érintett verziók
VMware vSphere Client 4.x
VMware vSphere Client 5.x
Összefoglaló
A VMware vSphere Client olyan sérülékenységét jelentették, amelyet a támadók kihasználva script beszúrásos (script insertion) támadásokat hajthatnak végre.
Leírás
Bizonyos nem részletezett bemeneti adat egy bizonyos naplóbejegyzés megtekintésekor nincs megfelelően ellenőrizve, mielőtt felhasználásra kerülne. Ezt kihasználva, tetszőleges HTML és script kódot lehet beszúrni a felhasználó böngészője által megjelenített munkafolyamatba, az érintett oldal vonatkozásában a kártékony adatok megtekintése során.
A sérülékenységet az 5-ös és 4.1 update 1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Unspecified (Nem részletezett)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 48387
CVE-2012-1512 - NVD CVE-2012-1512
Gyártói referencia: www.vmware.com