VMware corrige deux vulnérabilités importantes dans vRealize Automation

Deux vulnérabilités, l'une liée à une mauvaise validation d’entrées, l'autre à une mauvaise gestion de jeton de sessions, ont été corrigées lors des dernières mises à jour du produit vRealize Automation. Leur exploitation permettrait à un attaquant de détourner la session d'un utilisateur ciblé ou d'injecter du code dans les pages web (XSS).

Des références CVEs ont été attribuées à ces vulnérabilités :  

  • CVE-2018-6958: un défaut de validation d’entrées HTML permettrait à un utilisateur malveillant distant de réaliser des attaques du type DOM-based XSS lui permettant notamment d’accéder aux cookies d'un utilisateur ciblé et aux données envoyées par formulaire sur la page web affectée ;
  • CVE-2018-6959: un défaut de renouvellement de jeton de session dont l'exploitation permettrait à un attaquant de détourner la session d'un utilisateur ciblé. 

Informations
+

Impact

  • Divulgation des informations de l'utilisateur ;

  • Modification des informations de l'utilisateur ;

  • Injection de code dans les pages web (XSS) ;

  • Détournement de session.

Criticité

  • CVSS v3 : en cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • vRealize Automation versions antérieures à 7.4.0

CVE

  • CVE-2018-6958
  • CVE-2018-6959


Recommandations
+

Correctifs

Des mises à jour de sécurité corrigeant les vulnérabilités ont été publiées par VMware :

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement.