Se han identificado
tres vulnerabilidades críticas en VMware vSphere Data Protection que pueden ser
aprovechadas por un atacante remoto para realizar acciones no autorizadas,
catalogadas de Importancia: 5 - Crítica
Recursos afectados:
- vSphere Data Protection (VDP) de las versiones 6.1.x, 6.0.x y 5.x
Recomendación
VMware ha publicado
diferentes parches para corregir los fallos:
- vSphere Data Protection (VDP) 6.1.6 https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP616
- vSphere Data Protection (VDP) 6.0.7 https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP60_7
Detalle de vulnerabilidades
A continuación se
indican las vulnerabilidades identificadas:
Evasión de
autenticación: Un usuario remoto, de forma malintencionada, podría evitar
autenticarse en la aplicación y obtener acceso como usuario con máximos
privilegios a los sistemas afectados. Para esta vulnerabilidad se ha asignado
el CVE-2017-15548.
Subida de ficheros:
Un usuario remoto con bajos privilegios, de forma malintencionada, podría subir
ficheros en cualquier ubicación del sistema de archivos del servidor. Para esta
vulnerabilidad se ha asignado el CVE-2017-15549.
Salto de directorio:
Un usuario remoto con bajos privilegios, de forma malintencionada, podría
acceder a archivos arbitrarios en el sistema de archivos del servidor. Para
esta vulnerabilidad se ha asignado el CVE-2017-15550.
Más información
Fuente:INCIBE