Согласно бюллетеню разработчика, данная проблема связана с плагином Client Integration (CIP), присутствующем в ряде других продуктов компании, в том числе в некоторых версиях vCenter Server, vCloud Director и vRealize Automation Identity Appliance. Этот плагин помогает пользователям подключаться к консоли виртуальной машины и используется в тандеме с веб-клиентом vSphere.

Дело в том, что CIP обрабатывает некоторый контент сессий ненадежным образом, что грозит MitM-атакой или угоном сессии в тех случаях, когда пользователя удается заманить на вредоносный сайт. Для исправления ситуации пользователям рекомендуется обновить не только ПО, содержащее CIP, но и сам плагин.

По свидетельству VMware, данная уязвимость затрагивает vCenter Server 6.0 ниже сборки 6.0 U2, vCenter Server 5.5 U3a, U3b и U3c; vCloud Director 5.5.5 и Automation Identify Appliance 6.2.4.

В прошлом месяце VMware закрыла две серьезные XSS в решениях линейки vRealize, однако нынешняя уязвимость – первая после февральского патча для glibc, которую разработчик расценил как критическую.