发布日期：2010-03-29
更新日期：2010-04-02

受影响系统：

VMWare Server 2.0
VMWare VirtualCenter 2.5
VMWare VirtualCenter 2.0.2
VMWare ESX 3.5
VMWare ESX 3.0.3

描述：

---

BUGTRAQ  ID: 39103
CVE ID: CVE-2010-0686

VMWare是一款虚拟PC软件，允许在一台机器上同时运行两个或多个Windows、DOS、LINUX系统。

VMWare的WebAccess组件没有充分地验证用户所提供的输入，允许将入站请求转发到其他目的地。所转发的目标无法看到请求URL的真实来源，只能看到运行WebAccess的机器地址。攻击者可以利用这个转发漏洞伪造源址定向服务器上通讯。

<*来源：John Fitzpatrick
  
  链接：http://secunia.com/advisories/38384/
        http://lists.vmware.com/pipermail/security-announce/2010/000086.html
        http://secunia.com/advisories/39189/
*>

建议：

---

厂商补丁：

VMWare
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vmware.com

浏览次数：2029
严重程度：0（网友投票）