VMware ha publicado actualizaciones de seguridad para
corregir dos vulnerabilidades en VMware vRealize Automation y vRealize Business
Advanced y Enterprise, que podrían permitir realizar ataques de cross-site
scripting almacenados.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.
Recursos afectados
- Los problemas afectan a VMware vRealize Automation 6.x anteriores a 6.2.4 (CVE-2015-2344) y a VMware vRealize Business Advanced y Enterprise 8.x anteriores a 8.2.5 (CVE-2016-2075).
- En ambos casos se trata de la modalidad más grave de ataques cross-site scripting y la explotación podría dar lugar al compromiso de la estación de trabajo cliente de usuario vRA o vRB.
- Los cross-site scripting almacenados o persistentes sin duda resultan la modalidad más peligrosa de estos ataques. Igualmente se producen al no comprobar los datos de entrada en una web, normalmente formularios, con la diferencia de que quedan "grabados". El atacante puede introducir un código JavaScript que quedará almacenado en la base de datos y cuando un usuario legítimo visite la web, se cargará ese código malicioso (en esta ocasión sí se cargará desde la web legítima).
Se han publicado las siguientes actualizaciones para
corregir el problema en todas las versiones afectadas:
- VMware vRealize Automation 6.2.4 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/6_2
- VMware vRealize Business Advanced and Enterprise 8.2.5 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_business/8_2
- VMSA-2016-0003. VMware vRealize Automation and vRealize Business Advanced and Enterprise address Cross-Site Scripting (XSS) issues http://www.vmware.com/security/advisories/VMSA-2016-0003.html