PT-2021-3176 · Vmware · Vcenter Server+3
Ricter Z
·
Publicado
2021-05-25
·
Atualizado
2026-02-07
·
CVE-2021-21985
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
vSphere Client (HTML5) (versões afetadas não especificadas)
VMware vCenter Server (versões afetadas não especificadas)
Descrição
O problema existe devido à validação insuficiente de entradas no plug-in Virtual SAN Health Check, que está habilitado por padrão no vCenter Server. Isso permite que um invasor remoto execute comandos arbitrários com privilégios irrestritos no sistema operacional subjacente, enviando uma solicitação HTTP especialmente criada para a porta 443.
Recomendações
Como solução alternativa temporária, considere desativar o plug-in Virtual SAN Health Check até que um patch esteja disponível.
Restrinja o acesso à porta 443 para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vmware Vcenter
Virtual San Health Check
Vcenter Server
Vsphere Client