Две новые уязвимости обнаружены в vCenter Server 6.5, 6.7 и Cloud Foundation 3.x.
- CVE-2021-21980 CVSSv3 7.5. Злоумышленник может получить доступ к важной информации по порту 443 в Web Client (FLEX/Flash).
- CVE-2021-22049. SSRF (Server Side Request Forgery) уязвимость в плагине vSAN Web Client (vSAN UI). Злоумышленник может делать URL запросы вне vCenter или обратиться к внутренней службе.
Веб-клиент vSphere (FLEX / Flash) недоступен в vCenter Server 7.x, поэтому данная проблема не применима к линейке выпуска vCenter Server 7.x.
Доступны обновления для устранения этих уязвимостей.
vCenter 6.5
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3r-release-notes.html
vCenter 6.7
https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3p-release-notes.html
Cloud Foundation
Исправление ожидается.
Ссылки
https://www.vmware.com/security/advisories/VMSA-2021-0027.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22049
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21980
