Risque
Injection de code indirecte.
Systèmes affectés
- VMware vCenter Lab Manager 4.x ;
- VMware vCenter Server 4.x ;
- VMware Server 2.x ;
- VMware Stage Manager ;
- VMware ESX 4.x.
Résumé
Une vulnérabilité dans VMware vCenter Lab Manager permet à un utilisateur distant malintentionné de réaliser une injection de code indirecte.
Description
Une vulnérabilité dans le composant WebWorks Help, causée par un manque de contrôle sur les entrées passées en paramètres, permet à un utilisateur malveillant de réaliser une injection de code indirecte en vue d'une exécution dans le contexte du navigateur Internet de la victime.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2009-0017 du 15 décembre 2009 :
http://www.vmware.com/security/advisories/VMSA-2009-0017.html
- Référence CVE CVE-2009-3731 :
https://www.cve.org/CVERecord?id=CVE-2009-3731