VMware vCenter 爆出19个重大漏洞,可远程执行任意代码

时间:2021-09-24来源:栏目:互联网

周二,VMware发布了一项新的安全警告,称其产品vCenter Server和Cloud Foundation设备中存在多达19个安全漏洞,远程攻击者可以利用这些漏洞控制受影响的系统。根据网络安全行业...

周二,VMware发布了一项新的安全警告,称其产品vCenter Server和Cloud Foundation设备中存在多达19个安全漏洞,远程攻击者可以利用这些漏洞控制受影响的系统。

根据网络安全行业门户JIKENB.COM的梳理,当务之急是分析服务中任意文件上传的漏洞(CVE-2021-22005),影响vCenter Server 6.7和7.0的部署。根据VMware的说法,通过网络访问vCenter Server上端口443的恶意行为者可能会利用此问题,通过上传特制文件在vCenter Server上执行代码,任何可以访问vCenter Server的人都可以利用此漏洞。无论vCenter Server的配置设置如何,都可以访问和攻击它。

VMware修补的漏洞的完整列表如下:

CVE-2021-22005(CVSS 评分:9.8)――vCenter Server 文件上传漏洞

CVE-2021-21991(CVSS 评分:8.8)――vCenter Server 本地提权漏洞

CVE-2021-22006(CVSS 评分:8.3)――vCenter Server 反向代理绕过漏洞

CVE-2021-22011(CVSS 评分:8.1)――vCenter 服务器未经身份验证的 API 端点漏洞

CVE-2021-22015(CVSS 评分:7.8)――vCenter Server 权限不当本地提权漏洞

CVE-2021-22012(CVSS 评分:7.5)――vCenter Server 未经身份验证的 API 信息泄露漏洞

CVE-2021-22013(CVSS 评分:7.5)――vCenter Server 文件路径遍历漏洞

CVE-2021-22016(CVSS 评分:7.5)――vCenter Server 反映了 XSS 漏洞

CVE-2021-22017(CVSS 评分:7.3)――vCenter Server rhttpproxy 绕过漏洞

CVE-2021-22014(CVSS 评分:7.2)――vCenter Server 身份验证代码执行漏洞

CVE-2021-22018(CVSS 评分:6.5)――vCenter Server 文件删除漏洞

CVE-2021-21992(CVSS 评分:6.5)――vCenter Server XML 解析拒绝服务漏洞

CVE-2021-22007(CVSS 评分:5.5)――vCenter Server 本地信息泄露漏洞

CVE-2021-22019(CVSS 评分:5.3)――vCenter Server 拒绝服务漏洞

CVE-2021-22009(CVSS 评分:5.3)――vCenter Server VAPI 多重拒绝服务漏洞

CVE-2021-22010(CVSS 评分:5.3)――vCenter Server VPXD 拒绝服务漏洞

CVE-2021-22008(CVSS 评分:5.3)――vCenter Server 信息泄露漏洞

CVE-2021-22020(CVSS 评分:5.0)――vCenter Server Analytics 服务拒绝服务漏洞

CVE-2021-21993(CVSS 评分:4.3)――vCenter Server SSRF 漏洞

SolidLab LLC的George Noseevich和Sergey格拉西莫夫、施耐德电气的Hynek Petrak、Pentera的Yuval耶戈和Malcrove的Osama Alaa报告了大部分漏洞。

根据网络安全行业门户网站JIKENB.COM的梳理,CVE-2021-22005影响严重,该漏洞的利用可能在漏洞泄露后几分钟内发生。目前最重要的是争取最快的时间更新VMware vcenter系统。

由于勒索软件的威胁迫在眉睫,最安全的方法是假设攻击者可能已经通过使用网络钓鱼或鱼叉网络钓鱼等技术控制了桌面和用户帐户,并采取了相应的行动。这意味着攻击者可能已经能够从企业防火墙内部访问vCenter Server,因此所有VMware用户都必须注意这一点,并尽快升级系统。

1.本站部分来源于互联网用户自主整合上传,如有侵权,请联系我们删除;

2.文章内容并不代表本站的观点或立场,如有关于文章内容,版权或其它问题请联系删除;

3.本文地址:https://jiatu888.com/hlw/84180.html

最新文章

网站介绍

本站部分内容收集于互联网,如有侵犯贵司(个人)版权,请联系本站删除。

Copyright@2018-2021 www.jiatu888.com 嘉图网 All Rights Reserved 粤ICP备20051635号 网站地图 tag列表

嘉图网