Перейти к основному содержанию
 

vCenter — уязвимости в веб клиенте FLEX/Flash

Information Seciurity

Две новые уязвимости обнаружены в vCenter Server 6.5, 6.7 и Cloud Foundation 3.x.

  • CVE-2021-21980 CVSSv3 7.5. Злоумышленник может получить доступ к важной информации по порту 443 в Web Client (FLEX/Flash).
  • CVE-2021-22049. SSRF (Server Side Request Forgery) уязвимость в плагине vSAN Web Client (vSAN UI). Злоумышленник может делать URL запросы вне vCenter или обратиться к внутренней службе.

Веб-клиент vSphere (FLEX / Flash) недоступен в vCenter Server 7.x, поэтому данная проблема не применима к линейке выпуска vCenter Server 7.x.

Доступны обновления для устранения этих уязвимостей.

vCenter 6.5

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3r-release-notes.html

vCenter 6.7

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3p-release-notes.html

Cloud Foundation

Исправление ожидается.

Ссылки

https://www.vmware.com/security/advisories/VMSA-2021-0027.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-22049

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21980

Теги