8 de enero de 2017

Cross-site scripting en VMware vSphere Hypervisor (ESXi)

VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware vSphere Hypervisor (ESXi) que podrían permitir a un atacante construir ataques de cross-site scripting.
VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.
Detalle e Impacto de la vulnerabilidad
  • El problema, con CVE-2016-7463, reside en que un atacante con permisos para administrar máquinas virtuales a través de Cliente Host ESXi, o engañando al administrador de vSphere para importar una máquina virtual específicamente manipulada, podría realizar ataques de cross-site scripting (XSS) almacenados en el Cliente Host ESXi. El problema se puede provocar en el sistema desde donde el Cliente Host ESXi se utiliza para administrar la máquina virtual especialmente diseñada.
Recursos afectados
  • Afecta a versiones VMware vSphere Hypervisor (ESXi) 6.0 y 5.0.
Recomendación
VMware ha publicado las siguientes actualizaciones:
  1. ESXi 6.0: ESXi600-201611102-SG
  2. ESXi 5.5: ESXi550-201612102-SG
Más información:
Fuente: Hispasec