VMware的在其vRealize云软件有多个版本补丁的两个交叉站点脚本问题。这些漏洞可以在存储XSS攻击被利用,可能导致用户的工作站受到损害。
VMware vRealize Automation 6的Linux版本存在输入验证错误。x之前6.2.4和vRealize业务先进和企业x在8.2.5之前,VMware在advisory (VMSA-2016-0003)中表示。运行受影响版本的Linux用户应升级到vRealize Automation 6.2.4、vRealize Business Advanced和Enterprise 8.2.5来解决问题。这些问题不影响vRealize自动化7。Linux上的x和5。x在Windows上,vRealize Business 7。x和6。Linux上的x (vRealize商业标准)。
这两个安全漏洞存在于云计算的自动化工具vRealize自动化(CVE-2015年至2344年)和一个在财务管理软件vRealize业务(CVE-2016至75年)被评为“重要”。存储的XSS漏洞会让攻击者注入脚本永久存储在目标服务器上,并检索他们时,攻击者试图访问的信息。
据斜切SVE数据库的条目,在这两个Linux应用程序的存储跨站漏洞“允许远程认证用户通过未明向量注入任意的Web脚本或HTML。”
该软件不正确地从用户提供的输入,例如在注释字段或者其它类型的输入的过滤HTML代码。结果,远程用户可以利用这个安全漏洞,迫使受害者的浏览器执行恶意脚本。由于浏览器认为该代码是从用户的工作站,在系统的安全上下文中运行脚本发起,并且可以访问该用户的存储的cookie(包括身份验证Cookie),获得最近提交的表单数据,以及执行其他操作故作用户。
安全跟踪器,其列出了安全漏洞的信息,所述问题会导致的认证信息和通过网络任意代码,以及公开内容和用户信息的修改执行披露。
VMware不遵循一套时间表的安全补丁,但是补丁vRealize将成为第三更新2016年的VMware一月固定在ESXi中,融合化,播放机和工作站特权升级漏洞,并在关闭了关键的glibc漏洞二月。该公司还补发了一个补丁十月二月份解决的vCenter一个远程执行代码漏洞,可以让未经授权的用户连接和运行代码。
在vRealize自动化的问题是报告的ING服务波兰的卢卡斯Plonka。去年,作为一个独立的安全顾问,Plonka报道了关键的SQL注入漏洞,在9:1的通用安全漏洞评分系统的评价思科安全访问控制系统V5.5和更早版本。该vRealize业务漏洞报告由阿尔瓦罗·特里戈·德Vidales的资深IT安全顾问德勤西班牙。
这个故事,“VMware的修复了vRealize XSS漏洞的Linux”最初发表InfoWorld的 。