В клиенте vSphere Client для vCenter специалистом Positive Technologies Михаилом Ключниковым была устранена серьёзная уязвимость CVE-2021-21972, получившая 9,8 баллов из 10 возможных по шкале CVSS v3.
Обновление уже вышло давно, поэтому теперь можно и рассказать. К тому же, китайские ИБ уже опубликовали эксплойт, представляющий собой curl запрос. Как вы понимаете, воспользоваться данным эксплойтом проще простого.
Уязвимость позволяет неавторизированному пользователю выполнить произвольную команду.
Версии vCenter с исправлением:
- vCenter Server 7.0 U1c
- vCenter Server 6.7 U3l
- vCenter Server 6.5 U3n
Кто не обновился, обновляемся.
