首頁 > 安全研究 > 安全通報 > 安全通告

VMware View Planner遠程代碼執行漏洞(CVE-2021-21978)

發布時間 2021-03-03

0x00 漏洞概述

CVE  ID

CVE-2021-21978

時   間

2021-03-03

類   型

 RCE

等   級

高危

遠程利用

影響范圍

VMware View Planner   4.6

 

0x01 漏洞詳情

image.png

View planner 是VMware官方推出的一款針對view桌面的測試工具,可以通過它估算出在指定的應用環境下可以發布多少個view桌面,其本質上是一個使用centos的linux虛擬機。

2021年03月02日,VMware官方發布更新公告,修復了View Planner中的一個遠程代碼執行漏洞(CVE-2021-21978),其CVSS評分8.6。

由于不正確的輸入驗證和缺乏授權,可以在logupload web應用程序中上傳任意文件。能夠訪問View Planner Harness的攻擊者可以上傳并執行惡意文件,最終在logupload容器內遠程執行代碼。

 

0x02 處置建議

目前VMware已經發布了修復程序,建議及時安裝View Planner 4.6 Security Patch 1。

下載鏈接:

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VIEW-PLAN-460&productId=1067&rPId=53394

 

0x03 參考鏈接

https://www.vmware.com/security/advisories/VMSA-2021-0003.html

https://docs.vmware.com/en/VMware-View-Planner/4.6/rn/VMware-View-Planner-46-Release-Notes.html#patch-releases-2

https://cve.mitre.org/cgi-bin/cvename.cgi?name=VE-2021-21978

 

0x04 時間線

2021-03-02  Vmware發布安全公告

2021-03-03  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇