ASA-2019-00167 – VMware: Vulnerabilidade de segurança em APIs não autenticadas

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00167

Identificador(es)

ASA-2019-00167, CVE-2019-5514, VMSA-2019-0005

Título

Vulnerabilidade de segurança em APIs não autenticadas

Fabricante(s)

VMware

Produto(s)

VMware Fusion Pro / Fusion (Fusion)

Versão(ões) afetada(s)

VMware Fusion Pro / Fusion (Fusion) rodando em OSX versão 11.x

Versão(ões) corrigida(s)

VMware Fusion Pro / Fusion (Fusion) rodando em OSX versão 11.0.3

Prova de conceito

Desconhecida

Descrição

O VMware Fusion contém uma vulnerabilidade de segurança devido a certas APIs não autenticadas acessíveis por meio de um soquete da web. Um atacante pode explorar esse problema enganando o usuário do host para executar um JavaScript para executar funções não autorizadas na máquina convidada em que o VMware Tools está instalado. Isso pode ainda ser explorado para executar comandos nas máquinas convidadas.

Detalhes técnicos

Desconhecido

Créditos

CodeColorist e Csaba Fitzl

Referência(s)

[Security-announce] New VMSA-2019-0005 – VMware ESXi, Workstation and Fusion updates address multiple security issues
https://lists.vmware.com/pipermail/security-announce/2019/000454.html

VMSA-2019-0005
https://www.vmware.com/security/advisories/VMSA-2019-0005.html

CVE-2019-5514
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5514

CVE-2019-5514
https://nvd.nist.gov/vuln/detail/CVE-2019-5514

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 2 abril 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.