检测

VMware vCenter Server 5.5.x < 5.5u3e / 6.0.x < 6.0u2a Multiple XXE Vulnerabilities (VMSA-2016-0022)

critical Nessus 插件 ID 95468

语言:

简介

远程主机上安装的虚拟化管理应用程序受到多个 XML 外部实体 (XXE) 漏洞的影响。

描述

远程主机上安装的 VMware vCenter Server 版本为低于 5.5u3e 的 5.5.x 或低于 6.0u2a 的 6.0.x。因而会受到多个 XML 外部实体 (XXE) 漏洞的影响:- 由于未正确配置的 XML 解析器接受不受信任来源的 XML 外部实体,Log Browser、Distributed Switch setup 和 Content Library 中存在多个 XML 外部实体 (XXE) 漏洞。经身份验证的远程攻击者可利用此问题,通过特制的 XML 数据泄漏任意文件的内容。(CVE-2016-7459) - 由于未正确配置的 XML 解析器接受不受信任来源的 XML 外部实体,单点登录功能中存在 XML 外部实体 (XXE) 漏洞。未经身份验证的远程攻击者可利用此问题,通过特制的 XML 数据泄露任意文件的内容,或是造成拒绝服务情况。(CVE-2016-7460)

解决方案

升级版本到 VMware vCenter Server 5.5.u3e (5.5.0 build-4180646) / 6.0u2a (6.0.0 build-4541947) 或更高版本。

另见

https://www.vmware.com/security/advisories/VMSA-2016-0022.html

插件详情

严重性: Critical

ID: 95468

文件名: vmware_vcenter_vmsa-2016-0022.nasl

版本: 1.8

类型: remote

系列: Misc.

发布时间: 2016/12/2

最近更新时间: 2019/11/13

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS 分数来源: CVE-2016-7460

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 7.9

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:vmware:vcenter_server

必需的 KB 项: Host/VMware/release, Host/VMware/version, Host/VMware/vCenter

易利用性: No known exploits are available

补丁发布日期: 2016/11/22

漏洞发布日期: 2016/11/22

参考资料信息

CVE: CVE-2016-7459, CVE-2016-7460

BID: 94485, 94486

VMSA: 2016-0022