【漏洞通告】VMware vCenter Server任意文件读取漏洞安全风险通告(CVE-2021-21980)

安全通告

VMware vCenter Server任意文件读取漏洞安全风险通告

发布日期:2021-11-25

 

漏洞描述

2021年11月25日,监测到VMware发布了vCenter Server的安全更新。

VMware vCenter Server 提供了一个可伸缩、可扩展的平台,为虚拟化管理奠定了基础。VMware vCenter Server(以前称为 VMware Virtual Center),可集中管理 VMware vSphere 环境,与其他管理平台相比,极大地提高了 IT 管理员对虚拟环境的控制。

对此,禹宏信安建议广大用户及时将VMware vCenter Server升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

漏洞编号

CVE-2021-21980

漏洞危害

vSphere Web Client (FLEX/Flash) 包含一个未经授权的任意文件读取漏洞。对 vCenter Server 上的 443 端口具有网络访问权限的黑客可利用此漏洞来获取敏感信息。

漏洞等级

高危
受影响版本

vCenter Server 6.7

vCenter Server 6.5

Cloud Foundation (vCenter Server) 3.x

修复方案

根据影响版本中的信息,排查并升级到以下安全版本:

vCenter Server 6.7 U3p或vCenter Server 6.5 U3r

参考链接