【漏洞預警】VMware vCenter Server 多個漏洞

近日，安識科技A-Team團隊監測到 VMware 官方發布安全補丁的通告，共修復了2個安全漏洞。

對此，安識科技建議廣大用戶及時升級到安全版本,并做好資產自查以及預防工作，以免遭受黑客攻擊。

漏洞概述

CVE-2021-21980: VMware vCenter Server 任意文件讀取漏洞

CVE-2021-22049: VMware vCenter Server SSRF 漏洞

簡述：該漏洞為高危漏洞，是由于 vSphere Web Client (FLEX/Flash) 對用戶權限控制不當，攻擊者可利用該漏洞在未授權的情況下，讀取任意文件，并最終訪問敏感信息。

漏洞危害

攻擊者可利用該漏洞在未授權的情況下，讀取任意文件，并最終訪問敏感信息。

影響版本

• VMware vCenter Server 6.7
• VMware vCenter Server 6.5

 解決方案

當前官方已發布受影響版本的對應補丁，建議受影響的用戶及時更新官方的安全補丁。鏈接如下：

https://customerconnect.vmware.com/patch#search

時間軸

【-】2021年11月24日 安識科技A-Team團隊監測到VMware 官方發布安全補丁

【-】2021年11月25日 安識科技A-Team團隊根據通告信息分析

【-】2021年11月26日 安識科技A-Team團隊發布安全通告