鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

VMware vRealize SSRF误差（CVE-2021-21975）

宣布时间 2021-03-31

0x00 误差概述

CVE ID	CVE-2021-21975	时间	2021-03-31
类型	SSRF	等级	高危
远程使用	是	影响规模
PoC/EXP	已果真	在野使用

0x01 误差详情

Vmware vRealize Operations Manager是针对vmware虚拟化平台的一套运维治明确决计划。。。。。。。

2021年03月31日，，，，，，，VMware官方宣布清静通告，，，，，，，果真了VMware vRealize Operations 中的一个SSRF误差和一个恣意文件上传误差（误差追踪为CVE-2021-21975和CVE-2021-21983）。。。。。。。

vRealize Operations效劳器端请求伪造（CVE-2021-21975）

vRealize Operations Manager API中保存一个效劳器端请求伪造误差，，，，，，，其CVSS评分为8.6。。。。。。。具有vRealize Operations Manager API网络会见权限攻击者可以通过使用此误差执行效劳器端请求伪造攻击，，，，，，，以窃取治理员凭证。。。。。。。

Realize Operations恣意文件上传误差（CVE-2021-21983）

vRealize Operations Manager API中保存一个恣意文件上传误差，，，，，，，其CVSS评分为7.2。。。。。。。具有网络会见vRealize Operations Manager API权限的经由验证的攻击者可以将恣意文件上传到系统上。。。。。。。

影响规模

VMware vRealize operations manager： 8.3.0、8.2.0、8.1.1、8.1.0、8.0.1、8.0.0、7.5.0

VMware cloud foundation（vROps）: 4.x、3.x

vRealize Suite Lifecycle Manager (vROps)：8.x

0x02 处置惩罚建议

现在该误差PoC已果真，，，，，，，建议参考官方通告实时升级或装置响应补丁。。。。。。。

下载链接：

https://kb.vmware.com/s/article/83210

0x03 参考链接

https://www.vmware.com/security/advisories/VMSA-2021-0004.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21975

https://www.bleepingcomputer.com/news/security/vmware-fixes-bug-allowing-attackers-to-steal-admin-credentials/

0x04 时间线

2021-03-30 VMware宣布清静通告

2021-03-31 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】