VMware ha publicado una actualización de seguridad para corregir una vulnerabilidad en VMware vSphere Hypervisor (ESXi) que podrían permitir a un atacante construir ataques de cross-site scripting.VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.

El problema, con CVE-2016-7463, reside en que un atacante con permisos para administrar máquinas virtuales a través de Cliente Host ESXi, o engañando al administrador de vSphere para importar una máquina virtual específicamente manipulada, podría realizar ataques de cross-site scripting (XSS) almacenados en el Cliente Host ESXi. El problema se puede provocar en el sistema desde donde el Cliente Host ESXi se utiliza para administrar la máquina virtual especialmente diseñada.

Afecta a versiones VMware vSphere Hypervisor (ESXi) 6.0 y 5.0.

VMware ha publicado las siguientes actualizaciones:

ESXi 6.0: ESXi600-201611102-SG

ESXi 5.5: ESXi550-201612102-SG

Disponibles desde:

https://www.vmware.com/patchmgr/findPatch.portal

Más información:

VMSA-2016-0023

VMware ESXi updates address a cross-site scripting issue

http://www.vmware.com/security/advisories/VMSA-2016-0023.html