Actu
Vigli@nce : VMware, Cross Site Scripting via WebWorks Help
décembre 2009 par Vigil@nce
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer l’aide WebWorks afin de provoquer un Cross Site Scripting dans les applications VMware.
Gravité : 2/4
Conséquences : accès/droits client
Provenance : document
Moyen d’attaque : aucun démonstrateur, aucune attaque
Compétence de l’attaquant : expert (4/4)
Confiance : confirmé par l’éditeur (5/5)
Diffusion de la configuration vulnérable : élevée (3/3)
Date création : 16/12/2009
PRODUITS CONCERNÉS
VMware ESX
VMware Server
VMware vCenter
DESCRIPTION DE LA VULNÉRABILITÉ
Le format WebWorks Help (wwhelp) permet de créer des aides en
ligne. Il est utilisé par plusieurs applications VMware :
VMware WebAccess (vCenter, ESX, VMware Server)
Lab Manager
Stage Manager
Cependant, un Cross Site Scripting a été annoncé dans WebWorks Help. Il impacte aussi les produits VMware.
Un attaquant peut donc inviter la victime à consulter une url illicite, afin de faire exécuter du code JavaScript dans le contexte des produits VMware affectés.
CARACTÉRISTIQUES
Références : CVE-2009-3731, VIGILANCE-VUL-9295, VMSA-2009-0017
