Se ha reportado una vulnerabilidad en VMware de importancia alta que afecta a varios productos: vCenter Server, vCloud Director y Horizon View. La brecha de seguridad, descubierta por Matthias Kaiser de Code White GmbH, podría permitir a un atacante sustraer información confidencial.
El fallo detectado afecta al componente Apache Flex BlazeDS, al procesar incorrectamente peticiones XML External Entity (XXE).
Los productos afectados son los siguientes:
- vCenter Server 5.5
- vCenter Server 5.1
- vCenter Server 5.0
- vCenter Server 6.0
- vCloud Director 5.6
- vCloud Director 5.5
- Horizon View 6.0
- Horizon View 5.3
Ya existe un parche desarrollado que puedes descargar desde el siguiente enlace:
VMSA-2015-0008.2
VMware product updates address information disclosure issue.
Referencias:
CVE-2015-3269 Apache Flex BlazeDS Insecure Xml Entity Expansion Vulnerability
VMware Security Advisories – VMSA-2015-0008