Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/04/29

Garrantzia: Altua

Kaltetutako baliabideak:

VMware ESXi, 6.5 eta 6.7 bertsioak.

Azalpena:

Benny Husted eta DAWUSHIk larritasun altuko ahultasun baten berri eman dute, Cross-Site Scripting (XSS) iraunkor erakoa, VMware ESXi-ren hainbat bertsiotan.

Konponbidea:

• VMware ESXi 6.5, ESXi650-201912104-SG bertsiora eguneratzea;
• VMware ESXi 6.7, ESXi670-202004103-SG bertsiora eguneratzea.

Xehetasuna:

VMware ESXi Host Clientek ez du modu egokian neutralizatzen komandoen sekuentziekin erlazionatutako HTMLa, makina birtualen atributuak ikusten direnean. Erasotzaile batek gonbidatutako sistema eragiletik makina birtual baten sistemaren ezaugarrietara sarbidea balu, asmo gaiztoko script bat injekta lezake, eta hori biktimaren nabigatzaileak exekutatuko luke. Ahultasun horretarako CVE-2020-3955 identifikatzailea erabili da.

Etiketak: Eguneraketa, VMWare, Ahultasuna