导读 VMware已修补其旗舰产品中的十多个漏洞,其中一个是可用于在vCenterServer设备上执行命令和软件的关键文件上传漏洞。该严重漏洞被追踪为CVE
VMware已修补其旗舰产品中的十多个漏洞,其中一个是可用于在vCenterServer设备上执行命令和软件的关键文件上传漏洞。该严重漏洞被追踪为CVE-2021-22005,是今年第三个严重性等级为9.8/10的vCenter漏洞,并且是困扰VMware的vCenter、vSphere和CloudFoundation产品线的19个漏洞的一部分。
“通过网络访问vCenterServer上的端口443的恶意行为者可能会利用此问题通过上传特制文件在vCenterServer上执行代码,”VMware的公告称。
这些漏洞影响vSpherev6.5、CloudFoundation3.x和4.x、vCenterServer6.7和7.0版本,该公告敦促这些版本的用户立即修补他们的实例。
在一篇关于这些漏洞的博文中,VMware的技术营销架构师BobPlankers指出,用户必须立即修补CVE-2021-22005,因为它“可以被任何可以通过网络访问vCenterServer以获取访问权限的人使用,无论是vCenterServer的配置设置。”
虽然VMware的公告没有提到是否有任何漏洞被广泛利用,但最近的vCenter缺陷,例如今年5月早些时候修补的vSphere客户端错误,是。
TheRegister在报告开发情况时指出,尽管CVE-2021-22005具有关键性质,但该公司已敦促用户也考虑修补其他缺陷。
虽然它们中的大多数不能被远程利用,从而减少了它们的影响,但它们中的许多可以被利用来造成相当大的破坏。
标签: