VMware vCenter Lab Manager WebWorks Help跨站脚本漏洞

漏洞起因
输入验证错误
 
影响系统
VMware vCenter Lab Manager 4.x
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息。
 
攻击所需条件
攻击者必须访问VMware vCenter Lab Manager WebWorks Help。
 
漏洞信息
VMware vCenter Lab Manager使IT能够为开发测试创建和管理内部云,并通过自助访问研发、测试、配置和部署复杂的、多级别的应用程序所需的资源,为用户提供更高的服务等级。
WebWorks Help某个输出格式允许在线帮助在多种平台和浏览器上提交,可更加容易的在WEB或企业内网中发布信息。
WebWorks Help没有充分过滤入站请求,可导致内置WebWorks Help的应用程序触发跨站脚本攻击。
成功利用VMware产品中的此漏洞需要诱使用户点击恶意链接或在目标用户登录到vCenter时,ESX或VMware Server使用WebAccess或登录到State manager或Lab Manager时打开恶意WEB页面。
 
测试方法
 
厂商解决方案
VMware vCenter Lab Manager 4.1已经修复此漏洞,建议用户下载使用:
http://downloads.vmware.com/download/download.do?downloadGroup=VC40U1
 
漏洞提供者
Petr Gajdos and Christian Kornacker

发表评论?

0 条评论。

发表评论