VMSA-2016-0023:VMware ESXi 更新解決一個跨網站指令碼問題

medium Nessus Plugin ID 96084

Synopsis

遠端 VMware ESXi 主機遺漏安全性相關修補程式。

描述

a. 主機用戶端已儲存跨網站指令碼問題 ESXi 主機用戶端包含一個弱點,其允許已儲存的跨網站指令碼 (XSS)。此問題可能源自於有權透過 ESXi 主機用戶端來管理虛擬機器的攻擊者,或是藉由誘騙 vSphere 系統管理員匯入特製的 VM 所致。此問題可能會在使用 ESXi 主機用戶端來管理特製 VM 的系統上觸發。VMware 建議勿從不信任的來源匯入 VM。VMware 感謝 Caleb Watt (@calebwatt15) 向我們報告此問題。Common Vulnerabilities and Exposures 專案 (cve.mitre.org) 已將識別碼 CVE-2016-7463 指派給此問題。

解決方案

套用遺漏的修補程式。

另請參閱

http://lists.vmware.com/pipermail/security-announce/2016/000361.html

Plugin 詳細資訊

嚴重性: Medium

ID: 96084

檔案名稱: vmware_VMSA-2016-0023.nasl

版本: 3.8

類型: local

已發布: 2016/12/22

已更新: 2021/1/6

風險資訊

VPR

風險因素: Low

分數: 3

CVSS v2

風險因素: Low

基本分數: 3.5

時間分數: 2.6

媒介: AV:N/AC:M/Au:S/C:N/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

CVSS v3

風險因素: Medium

基本分數: 5.4

時間分數: 4.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

時間媒介: E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:vmware:esxi:5.5, cpe:/o:vmware:esxi:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/12/20

參考資訊

CVE: CVE-2016-7463

VMSA: 2016-0023