Risque
- Injection de code indirecte
Systèmes affectés
- VMware ESX 4.x.
- VMware Server 2.x ;
- VMware Stage Manager ;
- VMware vCenter Lab Manager 4.x ;
- VMware vCenter Server 4.x ;
Résumé
Une vulnérabilité dans VMware vCenter Lab Manager permet à un utilisateur distant malintentionné de réaliser une injection de code indirecte.
Description
Une vulnérabilité dans le composant WebWorks Help, causée par un manque de contrôle sur les entrées passées en paramètres, permet à un utilisateur malveillant de réaliser une injection de code indirecte en vue d'une exécution dans le contexte du navigateur Internet de la victime.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité VMware VMSA-2009-0017 du 15 décembre 2009 : http://www.vmware.com/security/advisories/VMSA-2009-0017.html
- Référence CVE CVE-2009-3731 https://www.cve.org/CVERecord?id=CVE-2009-3731