Fecha de publicaci\u00f3n: 16 septiembre 2019
Gravedad: Alta
Clasificaci\u00f3n de gravedad: CVSS v3
Productos afectados:
\u2022 VMware vSphere ESXi (ESXi)
\u2022 VMware vCenter Server (vCenter)<\/p>\n\n\n\n
A continuaci\u00f3n, se describen las soluciones para cada vulnerabilidad: <\/p>\n\n\n\n Vectores de ataque conocidos:<\/strong> Resoluci\u00f3n:<\/strong>
Descripci\u00f3n:<\/strong>
Las actualizaciones de VMware ESXi y vCenter Server corrigen la inyecci\u00f3n de comandos y las vulnerabilidades de divulgaci\u00f3n de informaci\u00f3n. Enunciadas a continuaci\u00f3n.
\u2022 CVE-2017-16544: vulnerabilidad de inyecci\u00f3n de comandos de VMware ESXi
\u2022 CVE-2019-5531: ESXi Host Client, vCenter vSphere Client y vCenter vSphere Web Client vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n
\u2022 CVE-2019-5532: vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n del servidor VMware vCenter
\u2022 CVE-2019-5534: vulnerabilidad de divulgaci\u00f3n de informaci\u00f3n de VMware vCenter Server en las propiedades de vAppConfig<\/p>\n\n\n\n
ESXi contiene una vulnerabilidad de inyecci\u00f3n de comandos debido al uso de una versi\u00f3n vulnerable de busybox que no desinfecta los nombres de archivo, lo que puede provocar la ejecuci\u00f3n de cualquier secuencia de escape en el shell. VMware ha evaluado la gravedad de este problema para estar en el rango de gravedad moderada con un puntaje base CVSSv3 m\u00e1ximo de 6.7.<\/li><\/ul>\n\n\n\n
Un atacante puede explotar este problema enga\u00f1ando a un administrador de ESXi para que ejecute comandos de shell proporcionando un archivo malicioso.<\/p>\n\n\n\n
Realizar las actualizaciones de CVE-2017-16544 a las versiones enumeradas en la columna ‘Versi\u00f3n fija’ de la ‘Matriz de resoluci\u00f3n’ que se encuentra a continuaci\u00f3n.
Producto Versi\u00f3n Identificador de CVE CVSSV3 Gravedad Versi\u00f3n fija
<\/p>\n\n\n\n