近日，我司监测到VMware发布安全公告，修复了一个存在于VMware vCenter Server中的服务器端请求伪造漏洞。在vCenter Server上具有443网络访问权限的攻击者可以通过访问vCenter Server外部的URL请求或访问内部服务来利用该漏洞。

VMware vCenter Server是VMware虚拟化管理平台，广泛的应用于企业私有云内网中。通过使用vCenter，管理员可以轻松的管理上百台虚拟化环境 。

影响版本:

• Cloud Foundation (vCenter Server) 4.x
• Cloud Foundation (vCenter Server) 3.x
• VMware vCenter Server 6.5
• VMware vCenter Server 6.7
• VMware vCenter Server 7.0

安全版本:

• VMware vCenter Server 6.5 U3t
• VMware vCenter Server 6.7 U3r
• VMware vCenter Server 7.0 U3f

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

• vCenter Server 7.0 U3d下载和文档：

https://customerconnect.vmware.com/downloads/details?downloadGroup=VC70U3D&productId=974&rPId=74352

https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-vcenter-server-70u3d-release-notes.html

• vCenter Server 6.7 U3p下载和文档：

https://customerconnect.vmware.com/en/downloads/details?downloadGroup=VC67U3P&productId=742&rPId=78421

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-vcenter-server-67u3p-release-notes.html

• vCenter Server 6.5 U3r下载和文档：

https://customerconnect.vmware.com/downloads/details?downloadGroup=VC65U3R&productId=614&rPId=74057

https://docs.vmware.com/en/VMware-vSphere/6.5/rn/vsphere-vcenter-server-65u3r-release-notes.htm