Cross-site scripting en productos VMware vRealize

VMware ha publicado actualizaciones de seguridad para corregir dos
vulnerabilidades en VMware vRealize Automation y vRealize Business
Advanced y Enterprise, que podrían permitir realizar ataques de
cross-site scripting almacenados.

VMware es un software que permite ejecutar diferentes sistemas
operativos en un mismo PC de forma virtual. Entre otras aplicaciones,
VMware es muy utilizado en seguridad informática por la versatilidad
que ofrece. Por ejemplo, se suele utilizar de forma habitual en la
investigación del malware, ya que permite ejecutar y analizar los
especímenes en entornos virtuales controlados.

Los problemas afectan a VMware vRealize Automation 6.x anteriores a
6.2.4 (CVE-2015-2344) y a VMware vRealize Business Advanced y Enterprise
8.x anteriores a 8.2.5 (CVE-2016-2075). En ambos casos se trata de la
modalidad más grave de ataques cross-site scripting y la explotación
podría dar lugar al compromiso de la estación de trabajo cliente de
usuario vRA o vRB.

Los cross-site scripting almacenados o persistentes sin duda resultan la
modalidad más peligrosa de estos ataques. Igualmente se producen al no
comprobar los datos de entrada en una web, normalmente formularios, con
la diferencia de que quedan “grabados”. El atacante puede introducir un
código JavaScript que quedará almacenado en la base de datos y cuando un
usuario legítimo visite la web, se cargará ese código malicioso (en esta
ocasión sí se cargará desde la web legítima).

Se han publicado las siguientes actualizaciones para corregir el
problema en todas las versiones afectadas:
VMware vRealize Automation 6.2.4
tomation/6_2
VMware vRealize Business Advanced and Enterprise 8.2.5
https://my.vmware.com/web/vmware/info/slug/infrastructure_operations_management/vmware_vrealize_business/8_2

Ver informacion original al respecto en Fuente:
tos.html