Vulnerabilidades en vSphere Data Protection (VDP) de VMware

Fecha de publicación: 21/11/2018

Importancia:
Crítica

Recursos afectados:

  • VDP versiones 6.1.x y 6.0.x

Descripción:

Se han publicado varias vulnerabilidades de ejecución remota de código, redireccionamiento abierto, inyección de comandos y exposición de información que afectan a vSphere Data Protection (VDP).

Solución:

Reemplazar o aplicar el parche correspondiente en función del producto y versión:

Detalle:

  • Un atacante remoto no autenticado podría ejecutar comandos arbitrarios en el servidor. Se ha reservado el identificador CVE-2018-11066 para esta vulnerabilidad.
  • Una vulnerabilidad de redireccionamiento abierta podría permitir a un atacante remoto no autenticado redirigir a los usuarios de la aplicación a URLs arbitrarias, engañando a los usuarios para que hagan clic en enlaces maliciosos sin saberlo (phishing). Se ha reservado el identificador CVE-2018-11067 para esta vulnerabilidad.
  • Una vulnerabilidad de inyección de comandos en el sistema operativo de la utilidad de solución de problemas getlogs podría permitir a un atacante con permisos de administrador ejecutar comandos arbitrarios bajo privilegios de root. Se ha reservado el identificador CVE-2018-11076 para esta vulnerabilidad.
  • La clave privada SSL/TLS de la consola de administración Java de VDP puede filtrarse en el paquete cliente de gestión Java de VDP, lo que podría permitir a un autenticado en la misma capa de enlace de datos llevar a cabo un ataque MITM (man-in-the-middle) contra los usuarios de la consola de gestión y provocar una exposición de información. Se ha reservado el identificador CVE-2018-11077 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, VMware, Vulnerabilidad

Powered by WPeMatico

Entradas relacionadas

About Gustavo Genez 2653 Articles
Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.