您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用

VMware vCenter Server多个高危漏洞通告

作者:海青实验室
发布时间:2021-09-22

  近日,安全狗应急响应中心监测到,VMware官方发布了VMware vCenter Server/VMware Cloud Foundation的风险通告,事件等级:严重,事件评分:9.8。

  VMware高危漏洞描述

  VMware vCenter Server是VMware虚拟化管理平台,广泛的应用于企业私有云内网中。通过使用vCenter,管理员可以轻松的管理上百台虚拟化环境,同时也意味着当其被攻击者控制后会造成私有云大量虚拟化环境将被攻击者控制。

  VMware 官方发布安全公告,披露了包括 CVE-2021-22005 VMware vCenter Server 任意文件上传漏洞在内的多个中高危严重漏洞。攻击者可构造恶意请求,通过vCenter中的Analytics服务,可上传恶意文件,从而造成远程代码执行漏洞。

  安全狗应急响应中心提醒 VMware 用户尽快采取安全措施阻止漏洞攻击。

  CVE-2021-22005 VMware vCenter Server 任意文件上传漏洞 严重

  CVE-2021-21991 VMware vCenter Server 本地提权漏洞 高危

  CVE-2021-22006 VMware vCenter Server 反向代理绕过漏洞 高危

  CVE-2021-22011 VMware vCenter Server API未授权访问漏洞 高危

  CVE-2021-22015 VMware vCenter Server 权限提升漏洞 高危

  CVE-2021-22012 VMware vCenter Server API敏感信息泄漏漏洞 中危

  CVE-2021-22013 VMware vCenter Server 目录遍历漏洞 高危

  CVE-2021-22016 VMware vCenter Server XSS漏洞 低危

  CVE-2021-22017 VMware vCenter Server rhttpproxy 绕过漏洞 高危

  CVE-2021-22014 VMware vCenter Server 后台远程代码执行漏洞 高危

  CVE-2021-22018 VMware vCenter Server 任意文件删除漏洞 中危

  CVE-2021-21992 VMware vCenter Server XML 拒绝服务漏洞 中危

  CVE-2021-22007 VMware vCenter Server 本地信息泄漏漏洞 中危

  CVE-2021-22019 VMware vCenter Server 拒绝服务漏洞 中危

  CVE-2021-22009 VMware vCenter Server VApi 多个拒绝服务漏洞 中危

  CVE-2021-22010 VMware vCenter Server VPXD 拒绝服务漏洞 中危

  CVE-2021-22008 VMware vCenter Server 敏感信息泄漏漏洞 中危

  CVE-2021-22020 VMware vCenter Server Analytics 拒绝服务漏洞 中危

  CVE-2021-21993 VMware vCenter Server SSRF 漏洞 中危

  安全通告信息

  漏洞名称VMware vCenter Server多个高危漏洞通告

  漏洞影响版本VMware vCenter Server 7.0系列 < 7.0 U2c

  VMware vCenter Server 6.7系列 < 6.7 U3o

  VMware vCenter Server 6.5系列 不受该漏洞影响

  漏洞危害等级高危

  厂商是否已发布漏洞补丁是

  版本更新地址https://www.vmware.com/security/advisories/VMSA-2021-0020.html

  安全狗总预警期数182

  安全狗发布预警日期2021年09月22日

  安全狗更新预警日期2021年09月22日

  发布者安全狗海青实验室

  处置措施

  1、升级VMware vCenter Server 至最新版本。

  2、针对 CVE-2021-22005 VMware vCenter Server 任意文件上传漏洞,可按照以下链接所提的相关措施进行缓解:

  https://kb.vmware.com/s/article/85717

标签: 安全漏洞