VMware vCenter Server 任意文件读取漏洞:CVE-2021-21980

来源: 投稿
作者: 360CERT
2021-11-25 16:27:01

报告编号:B6-2021-112501

报告来源:360CERT

报告作者:360CERT

更新日期:2021-11-25

漏洞简述

2021 年 11 月 25 日,360CERT 监测发现VMware发布了vCenter Server的安全更新,漏洞编号为CVE-2021-21980,漏洞等级:高危,漏洞评分:7.5

VMware vCenterServer 提供了一个可伸缩、可扩展的平台,为 虚拟化管理奠定了基础。VMware vCenter Server(以前称为 VMware VirtualCenter),可集中管理 VMware vSphere 环境,与其他管理平台相比,极大地提高了 IT 管理员对虚拟环境的控制。

对此,360CERT 建议广大用户及时将VMware vCenter Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
攻击者价值
利用难度
360CERT评分 7.5

漏洞详情

CVE-2021-21980: VMware vCenter Server 文件读取漏洞

CVE: CVE-2021-21980

组件: VMware vCenter Server

漏洞类型: 文件读取

影响: 文件读取

简述: vSphere Web Client (FLEX/Flash) 包含一个未经授权的任意文件读取漏洞。对 vCenter Server 上的 443 端口具有网络访问权限的黑客可利用此漏洞来获取敏感信息。

影响版本

  • vCenter Server 6.7
  • vCenter Server 6.5
  • Cloud Foundation (vCenter Server) 3.x

修复建议

通用修补建议

根据影响版本中的信息,排查并升级到以下安全版本

vCenter Server 6.7 U3p

https://customerconnect.vmware.com/en/downloads/details?downloadGroup=VC67U3P&productId=742&rPId=78421

vCenter Server 6.5 U3r

https://customerconnect.vmware.com/downloads/details?downloadGroup=VC65U3R&productId=614&rPId=74057

时间线

2021-11-23 VMware 发布 vCenter Server 安全更新

2021-11-25 360CERT 发布通告

参考链接

1、 https://www.vmware.com/security/advisories/VMSA-2021-0027.html

2、 https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3p-release-notes.html

3、 https://nvd.nist.gov/vuln/detail/CVE-2021-21980

展开阅读全文
点击加入讨论🔥(5) 发布并加入讨论🔥
5 评论
3 收藏
分享
返回顶部
顶部