PT-2021-2362 · Vmware · Vmware View Planner
Mikhail Klyuchnikov
·
Publicado
2021-03-02
·
Atualizado
2023-08-08
·
CVE-2021-21978
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do VMware View Planner anteriores à 4.6 Security Patch 1
Descrição
O problema está relacionado à falta de autorização e à validação inadequada de entradas na aplicação web logupload do VMware View Planner, permitindo que um invasor não autorizado com acesso à rede faça o upload e execute um arquivo especialmente criado, levando à execução remota de código dentro do contêiner logupload. Isso pode ser explorado por um invasor para executar código arbitrário.
Recomendações
Para versões anteriores à 4.6 Security Patch 1, aplique a 4.6 Security Patch 1 para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao aplicativo web logupload para minimizar o risco de exploração. Evite usar o recurso logupload até que o problema seja resolvido.
Exploit
Correção
Unrestricted File Upload
Missing Authorization
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vmware View Planner