2021-03-31 10:51  报告编号:B6-2021-033101 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-12 0x01 漏洞简述2021年03月31日,360CERT监测发现 VMware vRealize Operations 可在由 AI 提供支持的统一平台中针对私有云、混合云和多云环境提供自动配置 IT 运维管理套件。 本次安全更新修复了一处服务端请求伪造漏洞,一处任意文件上传漏洞,值得注意的是这两处漏洞可以相互配合实现未通过身份验证情况下的远程代码执行。 对此,360CERT建议广大用户及时将 0x02 风险等级360CERT对该漏洞的评定结果如下
0x03 漏洞详情CVE-2021-21975: 服务器端请求伪造漏洞CVE: CVE-2021-21975 组件: cloud_foundation,vrealize_suite_lifecycle_manager,vrealize_operations_manager 漏洞类型: 服务器端请求伪造 影响: 身份信息窃取、权限绕过 简述: 攻击者可以传递特定参数,使得服务端发起请求,该漏洞可以造成管理员身份信息窃取,以及绕过部分功能的权限控制。 CVE-2021-21983: 文件上传漏洞CVE: CVE-2021-21983 组件: vrealize_suite_lifecycle_manager,cloud_foundation,vrealize_operations_manager 漏洞类型: 文件上传 影响: 特定情况下的远程代码执行、资源占用 简述: 攻击者可以上传任意文件到服务器上, 0x04 影响版本- - - 0x05 修复建议通用修补建议建议参考官方修复进行修复 vmware kb 83260官方修复指引该组件具备自动接受更新功能,在联网的情况下可以在管理后台进行升级。离线用户建议登录 VMWare 个人产品列表获取更新程序。 |
