查看原文
其他

VMware 修复 vCenter 服务器中的严重 RCE 漏洞

代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

作者:Pierluigi Paganini

编译:奇安信代码卫士团队


VMware 修复 vCenter Server 虚拟基础设施管理平台中的一个严重远程代码执行缺陷 (CVE-2021-21972),攻击者可利用该漏洞控制受影响系统。


vCenter Server 是 VMware 的中心管理工具,用于集中管理虚拟设备、多个 ESXi 主机以及所有依赖组件。该缺陷可遭远程未认证攻击者利用而无需任何用户交互。

相关安全公告指出,“vSphere Client (HTML5) 中含有一个远程代码执行漏洞。VMware 认为它的评分是9.8 (CVSSv3)。拥有对端口443网络访问权限的恶意人员或利用该漏洞通过不受限制的权限在托管 vCenter Server 的底层操作系统上执行命令。”

CVE-2021-21972 影响 vROPs 的 vCenter Serever 插件,该插件位于所有默认的安装程序中,不过并非必须,VMware 目前已提供相关缓解措施。VMware 公司建议将易受攻击的 vCenter Server 版本尽快升级至版本 6.5 U3n、6.7 U3I或7.0 U1c。

VMware 公司还为 CVE-2021-21972和CVE-2021-21973 提供了详细的缓解措施指南。

此外,VMware 公司还修复了 VMware ESXi 中的一个重要堆缓冲区溢出漏洞 (CVE-2021-21974)。攻击者可利用该漏洞在易受攻击的设备上执行任意代码。




推荐阅读
VMware 修复 NSA 报告的 0day
VMware 披露严重0day,影响Workspace One 的多个组件
VMware SD-WAN 修复6个漏洞,可关闭整个企业网络



原文链接

https://securityaffairs.co/wordpress/114957/security/vmware-in-vcenter-server-rce.html?utm_source=rss&utm_medium=rss&utm_campaign=vmware-in-vcenter-server-rce


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存