Vulnerabilidad en Client Integration Plugin (CIP) en VMware vCenter Server, vCloud Director y vRealize Automation Identity Appliance (CVE-2016-2076)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
15/04/2016
Última modificación:
12/04/2025
Descripción
Client Integration Plugin (CIP) en VMware vCenter Server 5.5 U3a, U3b y U3c y 6.0 en versiones anteriores a U2; vCloud Director 5.5.5; y vRealize Automation Identity Appliance 6.2.4 en versiones anteriores a 6.2.4.1 no maneja adecuadamente el contenido de sesión, lo que permite a atacantes remotos secuestrar sesiones a través de un sitio web manipulado.
Impacto
Puntuación base 3.x
7.60
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:vmware:vcenter_server:*:1b:*:*:*:*:*:* | 6.0 (incluyendo) | |
| cpe:2.3:a:vmware:vcenter_server:5.5:3a:*:*:*:*:*:* | ||
| cpe:2.3:a:vmware:vcenter_server:5.5:3b:*:*:*:*:*:* | ||
| cpe:2.3:a:vmware:vcenter_server:5.5:u3c:*:*:*:*:*:* | ||
| cpe:2.3:a:vmware:vcloud_automation_identity_appliance:6.2.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:vmware:vcloud_director:5.5.5:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securitytracker.com/id/1035570
- http://www.securitytracker.com/id/1035571
- http://www.securitytracker.com/id/1035572
- http://www.vmware.com/security/advisories/VMSA-2016-0004.html
- http://www.securitytracker.com/id/1035570
- http://www.securitytracker.com/id/1035571
- http://www.securitytracker.com/id/1035572
- http://www.vmware.com/security/advisories/VMSA-2016-0004.html