VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

  • A+
所属分类:安全漏洞


VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞
VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

点击上方 蓝字 关注我们


3月30日,VMware发布了关于vRealize Operations的安全更新,本次安全更新修复了一处服务器端请求伪造漏洞(CVE-2021-21975),一处任意文件上传漏洞(CVE-2021-21983)。黑客可利用这两处漏洞配合实现未通过身份验证情况下的远程代码执行。火绒工程师建议相关用户及时将vRealize升级到最新版本。


漏洞详情


CVE-2021-21975:服务器端请求伪造漏洞
VMware官方评级为重要(Important)  
CVSSv3: 8.6
攻击者在无需身份验证和用户交互的情况下,可利用此漏洞窃取管理凭据。
 
CVE-2021-21983:任意文件上传漏洞
VMware官方评级为重要(Important)  
CVSSv3: 7.2
攻击者在经过身份验证后,可利用此漏洞,远程将文件上传至服务器。


影响范围


vRealize Operations Manager 8.3.0、8.2.0、8.1.0、8.1.1、8.0.0、8.0.1、7.5.0
VMware Cloud Foundation(vROps)3.x、4.x
vRealize Suite Lifecycle Manager (vROps) 8.x


修复建议


下载VMware官方发布的补丁进行修复。
补丁链接:
vRealize Operations Manager
  • 8.3.0: https://kb.vmware.com/s/article/83210

  • 8.2.0: https://kb.vmware.com/s/article/83095

  • 8.1.1: https://kb.vmware.com/s/article/83094

  • 8.0.1: https://kb.vmware.com/s/article/83093

  • 7.5.0: https://kb.vmware.com/s/article/82367

 
VMware Cloud Foundation (vROps)
  • 4.x/3.x: https://kb.vmware.com/s/article/83260


 
vRealize Suite Lifecycle Manager (vROps)
  • 8.x: https://kb.vmware.com/s/article/83260



 
 
参考链接:
https://www.vmware.com/security/advisories/VMSA-2021-0004.html
 


本文始发于微信公众号(火绒安全实验室):VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: