VMware vCenter 伺服器 Virtual SAN Health Check 外掛程式 RCE (CVE-2021-21985)(直接檢查)
critical Nessus Plugin ID 150163
語系:
概要
遠端 VMware vCenter Server 主機缺少安全性修補程式,並受到遠端程式碼執行弱點影響。說明
vSphere Client (HTML5) 的 vCenter Server 外掛程式中有一個遠端程式碼執行弱點。具有連接埠 443 網路存取權的惡意執行者可利用此問題,在主控 vCenter Server 的基礎作業系統上以不受限制的權限執行命令。這會影響 VMware vCenter Server (7.0 U2b 之前的 7.x 版、6.7 U3n 之前的 6.7 版以及 6.5 U3p 之前的 6.5 版),VMware Cloud Foundation (4.2.1 之前的 4.x 版及 3.10.2.1 之前的 3.x 版)。解決方案
套用供應商公告中提及的適當修補程式。另請參閱
https://www.vmware.com/security/advisories/VMSA-2021-0010.html
Plugin 詳細資訊
嚴重性: Critical
ID: 150163
檔案名稱: vmware_vcenter_cve-2021-21985.nbin
版本: 1.35
類型: remote
系列: Misc.
已發布: 2021/6/3
已更新: 2024/3/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: Critical
基本分數: 10
時間分數: 8.3
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2021-21985
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 9.1
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:F/RL:O/RC:C
弱點資訊
CPE: cpe:/a:vmware:vcenter_server
必要的 KB 項目: Host/VMware/vCenter
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2021/5/25
弱點發布日期: 2021/5/25
CISA 已知遭惡意利用弱點到期日: 2021/11/17
可惡意利用
CANVAS (CANVAS)
Core Impact
Metasploit (VMware vCenter Server Virtual SAN Health Check Plugin RCE)
參考資訊
CVE: CVE-2021-21985
IAVA: 2021-A-0254