VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

admin

101317
文章

87
评论

2021年3月31日07:35:11评论77 views字数 1055阅读3分31秒阅读模式

点击上方蓝字关注我们

3月30日，VMware发布了关于vRealize Operations的安全更新，本次安全更新修复了一处服务器端请求伪造漏洞（CVE-2021-21975），一处任意文件上传漏洞（CVE-2021-21983）。黑客可利用这两处漏洞配合实现未通过身份验证情况下的远程代码执行。火绒工程师建议相关用户及时将vRealize升级到最新版本。

漏洞详情

CVE-2021-21975：服务器端请求伪造漏洞

VMware官方评级为重要（Important）

CVSSv3: 8.6

攻击者在无需身份验证和用户交互的情况下，可利用此漏洞窃取管理凭据。

CVE-2021-21983：任意文件上传漏洞

VMware官方评级为重要（Important）

CVSSv3: 7.2

攻击者在经过身份验证后，可利用此漏洞，远程将文件上传至服务器。

影响范围

vRealize Operations Manager 8.3.0、8.2.0、8.1.0、8.1.1、8.0.0、8.0.1、7.5.0

VMware Cloud Foundation（vROps）3.x、4.x

vRealize Suite Lifecycle Manager (vROps) 8.x

修复建议

下载VMware官方发布的补丁进行修复。

补丁链接：

vRealize Operations Manager

8.3.0: https://kb.vmware.com/s/article/83210
8.2.0: https://kb.vmware.com/s/article/83095
8.1.1: https://kb.vmware.com/s/article/83094
8.0.1: https://kb.vmware.com/s/article/83093
7.5.0: https://kb.vmware.com/s/article/82367

VMware Cloud Foundation (vROps)

4.x/3.x: https://kb.vmware.com/s/article/83260

vRealize Suite Lifecycle Manager (vROps)

8.x: https://kb.vmware.com/s/article/83260

参考链接：

https://www.vmware.com/security/advisories/VMSA-2021-0004.html

本文始发于微信公众号（火绒安全实验室）：VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

VMware vRealize 修复服务器端请求伪造和任意文件写入漏洞

【漏洞预警】Progress Flowmon命令注入漏洞（CVE-2024-2389）

某捷通T KeyInfoList.aspx sql注入-附py

泰博云平台solr接口存在SSRF漏洞|漏洞预警

CVE-2024-20767

管家婆订货易在线商城 VshopProcess 任意文件上传漏洞复现【哥斯拉蚁剑齐上阵】

『漏洞复现』不安全的 Python Pickles

D-Link NAS CVE-2024-3273 Exploit Tool

OpenMetadata condition接口处RCE漏洞-CVE-2024-28255

发表评论

在线咨询

微信