CVE-2021-21985 Vmware vCenter漏洞需要立即修補

需要立即修補VMware vCenter中一個稱為CVE-2021-21985的嚴重漏洞。此已知漏洞的CVSS評分為9.8(滿分10),它可以使惡意軟件編寫者在受感染的服務器上執行任意代碼。

正如專家解釋的那樣,此漏洞是由於Virtual SAN Health Check插件中缺少輸入驗證而觸發的,該插件默認在vCenter Server中啟用。這裡包括受此漏洞影響的產品:

  • VMware vCenter Server(vCenter Server)
  • VMware Cloud Foundation(Cloud Foundation)

該通報說:“ vSphere Client(HTML5)中的多個漏洞已秘密報告給VMware。更新和變通辦法可解決受影響的VMware產品中的這些漏洞。”該漏洞由360 Noah Lab的一位名為Ricter Z的安全分析師報告。

VMware vCenter是一種服務器管理工具,用於從集中位置控制虛擬機,ESXi主機和其他組件。受影響的許多版本包括6.5、6.7和7.0,以及Cloud Foundation版本3.x和4.x。

值得注意的是,發行的補丁程序還應該修復vSphere Client中的身份驗證問題,這會影響虛擬SAN運行狀況檢查,站點恢復,vSphere Lifecycle Manager和Vmware Cloud Director可用性插件。從技術上講,該問題的名稱為CVE-2021-21986,根據CVSS等級,其等級為6.5,滿分10。利用此漏洞,黑客無需進行身份驗證即可設法執行插件允許的操作。