VMware View Planner远程代码执行漏洞(CVE-2021-21978)

0x00 漏洞概述

CVE  ID CVE-2021-21978 时   间 2021-03-03
类   型  RCE 等   级 高危
远程利用 影响范围 VMware View Planner   4.6

 

0x01 漏洞详情

View planner 是VMware官方推出的一款针对view桌面的测试工具,可以通过它估算出在指定的应用环境下可以发布多少个view桌面,其本质上是一个使用centos的linux虚拟机。

2021年03月02日,VMware官方发布更新公告,修复了View Planner中的一个远程代码执行漏洞(CVE-2021-21978),其CVSS评分8.6。

由于不正确的输入验证和缺乏授权,可以在logupload web应用程序中上传任意文件。能够访问View Planner Harness的攻击者可以上传并执行恶意文件,最终在logupload容器内远程执行代码。

 

0x02 处置建议

目前VMware已经发布了修复程序,建议及时安装View Planner 4.6 Security Patch 1。

下载链接:

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VIEW-PLAN-460&productId=1067&rPId=53394

 

0x03 参考链接

https://www.vmware.com/security/advisories/VMSA-2021-0003.html

https://docs.vmware.com/en/VMware-View-Planner/4.6/rn/VMware-View-Planner-46-Release-Notes.html#patch-releases-2

https://cve.mitre.org/cgi-bin/cvename.cgi?name=VE-2021-21978

 

0x04 时间线

2021-03-02  Vmware发布安全公告

2021-03-03  VSRC发布安全通告

发表评论

评论已关闭。

相关文章