Los investigadores
Oliver Matula y Benjamin Schwendemann de ERNW Enno Rey Netzwerke GmbH han
detectado dos vulnerablidades que podrían permitir a un atacate comprometer el
equipo del usuario o el secuestro de la sesión del usuario, catalogadas de Importancia:
4 - Alta
Recursos afectados:
VMware vRealize Automation
(vRA) versiones:
·
7.3.x
·
7.2.x
·
7.1.x
·
7.0.x
Detalle de vulnerabilidades
Una vulnerabilidad
del tipo cross-site scripting basada en el DOM podría permitir a un atacante
comprometer el equipo vRA del usuario. Se ha reservado el identificador
CVE-2018-6958 para esta vulnerabilidad.
Para la
vulnerabilidad de severidad media se ha reservado el identificador CVE-2018-6959.
Recomendación
VMware ha puesto a
disposición de los usuarios dos actualizaciones que solucionan las
vulnerabilidades, estas pueden descargarse desde los siguientes enlaces:
·
Versión
7.3.1 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/7_3
·
Versión
7.4.0 https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_automation/7_4
Fuente: INCIBE