La primera de las vulnerabilidades se ha etiquetado como CVE-2015-2342, afecta a VMware ESXi por un fallo en la función SLPDProcessMessage() de OpenSLP lo que puede permitir la ejecución remota de código.

La segunda -CVE-2015-1047- corresponde a VMware vCenter. No procesa adecuadamente mensajes largos de Heartbeat, pudiendo provocar una denegación de servicio en el servicio vpxd.

Están afectados los siguientes productos:

• VMware ESXi 5.5 sin el parche ESXi550-201509101
• VMware ESXi 5.1 sin el parche ESXi510-201510101
• VMware ESXi 5.0 sin el parche ESXi500-201510101
• VMware vCenter Server 6.0 anterior a la version 6.0 actualización 1
• VMware vCenter Server 5.5 anterior a la version 5.5 actualización 3
• VMware vCenter Server 5.1 anterior a la version 5.1 actualización u3b
• VMware vCenter Server 5.0 anterior a la version 5.u actualización u3e

Incibe recomienda la actualización inmediata de esos productos desde las páginas oficiales:

• VMware ESXi
• VMware vCenter Server

Fuente: muyseguridad