DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-1994: VMware AirWatch Console: Zwei Schwachstellen ermöglichen einen Cross-Site-Scripting-Angriff und die Manipulation von Daten

Historie

Version 1 (2017-11-10 09:26)
Neues Advisory

Betroffene Software

VMware AirWatch Console < 9.2.0
VMware AirWatch Console 9.x

Betroffene Plattformen

AirWatch

Lösung

Patch

VMware Security Advisory VMSA-2017-0016

Beschreibung

Ein entfernter, einfach authentisierter Angreifer kann zwei Schwachstellen in VMware AirWatch Console ausnutzen, um über Änderungen an den Eigenschaften und Logdateien eines zugeordneten mobilen Geräts einen Cross-Site-Scripting-Angriff und einen nicht näher spezifizierten Angriff mit Hilfe von CSV-Daten auf andere Benutzer der Software auszuführen.

VMware informiert über die Schwachstelle in VMware AirWatch Console 9.x und stellt die Version 9.2.0 als Sicherheitsupdate zur Verfügung. Im gleichen Sicherheitshinweis finden sich Informationen zu einer Schwachstelle in VMware AirWatch Launcher for Android (siehe gesondertes Advisory).

Schwachstellen

CVE-2017-4931: Schwachstelle in VMware AirWatch Console ermöglicht Manipulation von Daten

Durch eine Schwachstelle in VMware AirWatch Console kann ein entfernter, einfach authentisierter Angreifer potentiell schädliche CSV-Daten zur Logdatei eines zugeordneten mobilen Geräts hinzufügen. Der Angreifer kann dadurch einen nicht näher spezifizierten Angriff auf einen anderen Benutzer der Software, der diese Logdatei einsieht, durchführen.

CVE-2017-4930: Schwachstelle in VMware AirWatch Console ermöglicht Cross-Site-Scripting-Angriff

In VMware AirWatch Console ist es möglich, potentiell schädliche URLs zur 'Links'-Seite eines zugeordneten mobilen Geräts hinzuzufügen. Ein entfernter, einfach authentifizierter Angreifer kann dadurch einen Cross-Site-Scripting-Angriff auf andere Benutzer der Software ausführen und diese ohne deren Wissen auf speziell präparierte Webseiten umleiten.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.