CVE-2019-5534
https://notcve.org/view.php?id=CVE-2019-5534
VMware vCenter Server (6.7.x prior to 6.7 U3, 6.5 prior to 6.5 U3 and 6.0 prior to 6.0 U3j) contains an information disclosure vulnerability where Virtual Machines deployed from an OVF could expose login information via the virtual machine's vAppConfig properties. A malicious actor with access to query the vAppConfig properties of a virtual machine deployed from an OVF may be able to view the credentials used to deploy the OVF (typically the root account of the virtual machine). VMware vCenter Server (versión 6.7.x anterior a 6.7 U3, versión 6.5 anterior a 6.5 U3 y versión 6.0 anterior a 6.0 U3j), contiene una vulnerabilidad de divulgación de información donde las máquinas virtuales implementadas desde un OVF podrían exponer información de inicio de sesión mediante las propiedades vAppConfig de una máquina virtual. Un actor malicioso con acceso a consultar las propiedades vAppConfig de una máquina virtual implementada desde un OVF puede ser capaz de visualizar las credenciales usadas para implementar el OVF (comúnmente la cuenta root de la máquina virtual). • http://packetstormsecurity.com/files/154536/VMware-Security-Advisory-2019-0013.html https://www.vmware.com/security/advisories/VMSA-2019-0013.html • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-522: Insufficiently Protected Credentials •
CVE-2017-4928
https://notcve.org/view.php?id=CVE-2017-4928
The flash-based vSphere Web Client (6.0 prior to 6.0 U3c and 5.5 prior to 5.5 U3f) i.e. not the new HTML5-based vSphere Client, contains SSRF and CRLF injection issues due to improper neutralization of URLs. An attacker may exploit these issues by sending a POST request with modified headers towards internal services leading to information disclosure. vSphere Web Client basado en flash(en versiones 6.0 anteriores a la 6.0 U3c y versiones 5.5 anteriores a la 5.5 U3f), es decir, no el nuevo vSphere Client basado en HTML5, contiene problemas de inyección SSRF y CRLF debido a una neutralización incorrecta de URL. Un atacante puede explotar estos errores enviando una petición POST con cabeceras modificadas a servicios internos, lo que da lugar a una revelación de información. • http://www.securityfocus.com/bid/101785 http://www.securitytracker.com/id/1039759 https://www.vmware.com/security/advisories/VMSA-2017-0017.html • CWE-352: Cross-Site Request Forgery (CSRF) CWE-918: Server-Side Request Forgery (SSRF) •
CVE-2017-4927
https://notcve.org/view.php?id=CVE-2017-4927
VMware vCenter Server (6.5 prior to 6.5 U1 and 6.0 prior to 6.0 U3c) does not correctly handle specially crafted LDAP network packets which may allow for remote denial of service. VMware vCenter Server (en versiones 6.5 anteriores a la 6.5 U1 y versiones 6.0 anteriores a la 6.0 U3c) no gestiona correctamente paquetes de red LDAP especialmente manipulados, lo que puede permitir que se provoque una denegación de servicio de forma remota. • http://www.securityfocus.com/bid/101786 http://www.securitytracker.com/id/1039759 https://www.vmware.com/security/advisories/VMSA-2017-0017.html • CWE-90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') •
CVE-2017-4919
https://notcve.org/view.php?id=CVE-2017-4919
VMware vCenter Server 5.5, 6.0, 6.5 allows vSphere users with certain, limited vSphere privileges to use the VIX API to access Guest Operating Systems without the need to authenticate. VMware vCenter Server versiones 5.5, 6.0, 6.5, permite a los usuarios de vSphere con ciertos privilegios de vSphere limitados usar la API VIX para acceder a los Sistemas Operativos Invitados sin la necesidad de autenticarse. • http://www.securityfocus.com/bid/100102 http://www.securitytracker.com/id/1039004 http://www.vmware.com/security/advisories/VMSA-2017-0012.html • CWE-306: Missing Authentication for Critical Function •
CVE-2016-7459
https://notcve.org/view.php?id=CVE-2016-7459
VMware vCenter Server 5.5 before U3e and 6.0 before U2a allows remote authenticated users to read arbitrary files via a (1) Log Browser, (2) Distributed Switch setup, or (3) Content Library XML document containing an external entity declaration in conjunction with an entity reference, related to an XML External Entity (XXE) issue. VMware vCenter Server 5.5 en versiones anteriores a U3e y 6.0 en versiones anteriores a U2a permite a usuarios remotos autenticados leer archivos arbitrarios a través de un documento (1) Log Browser, (2) Distributed Switch setup, o (3) Content Library XML que contiene una declaración de entidad externa en conjunción con una referencia de entidad, relacionado con un problema XML External Entity (XXE). • http://www.securityfocus.com/bid/94486 http://www.securitytracker.com/id/1037329 http://www.vmware.com/security/advisories/VMSA-2016-0022.html • CWE-611: Improper Restriction of XML External Entity Reference •