Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en VMware vSphere Data Protection

Fecha de publicación 03/01/2018
Importancia
5 - Crítica
Recursos Afectados

vSphere Data Protection (VDP) de las versiones 6.1.x, 6.0.x y 5.x

Descripción

Se han identificado tres vulnerabilidades críticas en VMware vSphere Data Protection que pueden ser aprovechadas por un atacante remoto para realizar acciones no autorizadas.

Solución

VMware ha publicado diferentes parches para corregir los fallos:

Detalle

A continuación se indican las vulnerabilidades identificadas:

  • Evasión de autenticación: Un usuario remoto, de forma malintencionada, podría evitar autenticarse en la aplicación y obtener acceso como usuario con máximos privilegios a los sistemas afectados. Para esta vulnerabilidad se ha asignado el CVE-2017-15548.
  • Subida de ficheros: Un usuario remoto con bajos privilegios, de forma malintencionada, podría subir ficheros en cualquier ubicación del sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15549.
  • Salto de directorio: Un usuario remoto con bajos privilegios, de forma malintencionada, podría acceder a archivos arbitrarios en el sistema de archivos del servidor. Para esta vulnerabilidad se ha asignado el CVE-2017-15550.

Encuesta valoración

Listado de referencias
VMSA-2018-0001
Etiquetas