VMSA-2016-0023:VMware ESXi 更新解决了跨站脚本问题

medium Nessus 插件 ID 96084

简介

远程 VMware ESXi 主机缺少一个与安全有关的修补程序。

描述

a. 主机客户端存储型跨站脚本问题 ESXi 主机客户端存在允许存储型跨站脚本 (XSS) 的漏洞。此问题可能源自有权通过 ESXi 主机客户端管理虚拟机的攻击者,或通过诱骗 vSphere 管理员导入特制的 VM 造成。使用 ESXi 主机客户端管理特制 VM 的系统会触发此问题。VMware 建议不要通过不受信任的来源导入 VM。VMware 在此感谢 Caleb Watt (@calebwatt15) 向我们报告此问题。Common Vulnerabilities and Exposures 计划 (cve.mitre.org) 已为此问题分配标识符 CVE-2016-7463。

解决方案

应用缺少的修补程序。

另见

http://lists.vmware.com/pipermail/security-announce/2016/000361.html

插件详情

严重性: Medium

ID: 96084

文件名: vmware_VMSA-2016-0023.nasl

版本: 3.8

类型: local

发布时间: 2016/12/22

最近更新时间: 2021/1/6

风险信息

VPR

风险因素: Low

分数: 3

CVSS v2

风险因素: Low

基本分数: 3.5

时间分数: 2.6

矢量: AV:N/AC:M/Au:S/C:N/I:P/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS v3

风险因素: Medium

基本分数: 5.4

时间分数: 4.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:vmware:esxi:5.5, cpe:/o:vmware:esxi:6.0

必需的 KB 项: Host/local_checks_enabled, Host/VMware/release, Host/VMware/version

易利用性: No known exploits are available

补丁发布日期: 2016/12/20

参考资料信息

CVE: CVE-2016-7463

VMSA: 2016-0023