VMware vCenter 爆出19个重大漏洞,可远程执行任意代码
文章来源:安全圈
2021年09月22日,360CERT监测发现VMware官方发布了VMware vCenter Server/VMware Cloud Foundation的风险通告
称其产品 vCenter Server 和 Cloud Foundation 设备中存在多达 19 个安全漏洞,远程攻击者可以利用这些漏洞来控制受影响的系统。
VMware vCenter Server是VMware虚拟化管理平台,广泛的应用于企业私有云内网中。通过使用vCenter,管理员可以轻松的管理上百台虚拟化环境,同时也意味着当其被攻击者控制后会造成私有云大量虚拟化环境将被攻击者控制。
对此,安全圈建议广大用户及时将VMwarevCenterServer/VMwareCloudFoundation升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
VMware 修补的完整漏洞列表如下:
CVE-2021-22005(CVSS 评分:9.8)——vCenter Server 文件上传漏洞
CVE-2021-21991(CVSS 评分:8.8)——vCenter Server 本地提权漏洞
CVE-2021-22006(CVSS 评分:8.3)——vCenter Server 反向代理绕过漏洞
CVE-2021-22011(CVSS 评分:8.1)——vCenter 服务器未经身份验证的 API 端点漏洞
CVE-2021-22015(CVSS 评分:7.8)——vCenter Server 权限不当本地提权漏洞
CVE-2021-22012(CVSS 评分:7.5)——vCenter Server 未经身份验证的 API 信息泄露漏洞
CVE-2021-22013(CVSS 评分:7.5)——vCenter Server 文件路径遍历漏洞
CVE-2021-22016(CVSS 评分:7.5)——vCenter Server 反映了 XSS 漏洞
CVE-2021-22017(CVSS 评分:7.3)——vCenter Server rhttpproxy 绕过漏洞
CVE-2021-22014(CVSS 评分:7.2)——vCenter Server 身份验证代码执行漏洞
CVE-2021-22018(CVSS 评分:6.5)——vCenter Server 文件删除漏洞
CVE-2021-21992(CVSS 评分:6.5)——vCenter Server XML 解析拒绝服务漏洞
CVE-2021-22007(CVSS 评分:5.5)——vCenter Server 本地信息泄露漏洞
CVE-2021-22019(CVSS 评分:5.3)——vCenter Server 拒绝服务漏洞
CVE-2021-22009(CVSS 评分:5.3)——vCenter Server VAPI 多重拒绝服务漏洞
CVE-2021-22010(CVSS 评分:5.3)——vCenter Server VPXD 拒绝服务漏洞
CVE-2021-22008(CVSS 评分:5.3)——vCenter Server 信息泄露漏洞
CVE-2021-22020(CVSS 评分:5.0)——vCenter Server Analytics 服务拒绝服务漏洞
CVE-2021-21993(CVSS 评分:4.3)——vCenter Server SSRF 漏洞
根据影响版本中的信息,排查并升级到安全版本,下载链接参考官方通告的References:
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读
*江苏徐州警方侦破特大网络交友诈骗案:破案600多起,涉案3000多万元!