VMware ha publicado una actualización de seguridad para
corregir una vulnerabilidad en VMware vSphere Hypervisor (ESXi) que podrían permitir
a un atacante construir ataques de cross-site scripting.
VMware es un software que permite ejecutar diferentes
sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad informática por la versatilidad que
ofrece. VMWare ESX permite asignar recursos de procesador, memoria,
almacenamiento de información y redes en múltiples máquinas virtuales.
Detalle e Impacto de la vulnerabilidad
- El problema, con CVE-2016-7463, reside en que un atacante con permisos para administrar máquinas virtuales a través de Cliente Host ESXi, o engañando al administrador de vSphere para importar una máquina virtual específicamente manipulada, podría realizar ataques de cross-site scripting (XSS) almacenados en el Cliente Host ESXi. El problema se puede provocar en el sistema desde donde el Cliente Host ESXi se utiliza para administrar la máquina virtual especialmente diseñada.
- Afecta a versiones VMware vSphere Hypervisor (ESXi) 6.0 y 5.0.
VMware ha publicado las siguientes actualizaciones:
- ESXi 6.0: ESXi600-201611102-SG
- ESXi 5.5: ESXi550-201612102-SG
- Disponibles desde https://www.vmware.com/patchmgr/findPatch.portal
- VMSA-2016-0023. VMware ESXi updates address a cross-site scripting issue. http://www.vmware.com/security/advisories/VMSA-2016-0023.html