Описание
Уязвимость плагина h5-vcav-bootstrap-service программного обеспечения управления виртуальной инфраструктурой VMware vCenter Server связана с ошибками обработки относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, прочитать локальные файлы сервера, на котором установлено уязвимое ПО, а также осуществить подделку запросов на стороне сервера и XSS-атаку путем отправки специально сформированного GET-запроса
Вендор
VMware Inc.
Наименование ПО
VMware vCenter Server
Версия ПО
до 7.0.2.00100 включительно (VMware vCenter Server)
Тип ПО
ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)
Возможные меры по устранению уязвимости
До устранения уязвимости разработчиком ограничить доступ по адресам, содержащим «/ui/vcav-bootstrap» (с учётом различных вариантов кодировок данной строки)
Статус уязвимости
Подтверждена в ходе исследований
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
8.6 High
CVSS3
9 Critical
CVSS2
8.6 High
CVSS3
9 Critical
CVSS2