Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en vectores no especificados en VDSM y libvirt en Red Hat Enterprise Virtualization Hypervisor (CVE-2015-5201)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-306 Ausencia de autenticación para una función crítica
Fecha de publicación:
25/02/2020
Última modificación:
13/02/2023

Descripción

VDSM y libvirt en Red Hat Enterprise Virtualization Hypervisor (también se conoce como RHEV-H) versiones 7-7.x anteriores a 7-7.2-20151119.0 y versiones 6-6.x anteriores a 6-6.7-20151117.0, como es paquetizado en Red Hat Enterprise Virtualization versiones anteriores a 3.5.6, cuando VSDM se ejecuta con -spice disable-ticketing y una VM es suspendida y luego restaurada, permite a atacantes remotos iniciar sesión sin autenticación por medio de vectores no especificados.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:redhat:enterprise_virtualization:*:*:*:*:*:*:*:* 3.5.6 (excluyendo)
cpe:2.3:a:redhat:enterprise_virtualization_hypervisor:*:*:*:*:*:*:*:* 6-6.0 (incluyendo) 6-6.7-20151117.0 (excluyendo)
cpe:2.3:a:redhat:enterprise_virtualization_hypervisor:*:*:*:*:*:*:*:* 7-7.0 (incluyendo) 7-7.2-20151119.0 (excluyendo)