Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de XSS en VMware ESXi

Fecha de publicación 29/04/2020
Importancia
4 - Alta
Recursos Afectados

VMware ESXi, versiones 6.5 y 6.7.

Descripción

Benny Husted y DAWUSHI han reportado una vulnerabilidad, de severidad alta, de tipo Cross-Site Scripting (XSS) persistente, en varias versiones de VMware ESXi.

Solución
Detalle

VMware ESXi Host Client no neutraliza correctamente el HTML relacionado con las secuencias de comandos cuando se visualizan los atributos de las máquinas virtuales. Un atacante, si tuviera acceso a las propiedades del sistema de una máquina virtual desde el sistema operativo invitado, podría inyectar un script malicioso que sería ejecutado por el navegador de la víctima. Se ha asignado el identificador CVE-2020-3955 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias