VMware ha publicado un nuevo aviso de seguridad que contempla dos vulnerabilidades de severidad Alta que afectan a VMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation)
Severidad Alta
CVE-2021-21980 [CVSSv3 de 7,5]
Las actualizaciones de vCenter Server abordan la vulnerabilidad de lectura de archivos arbitrarios en vSphere Web Client
VSphere Web Client (FLEX / Flash) contiene una vulnerabilidad de lectura de archivos arbitrarios no autorizados. Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema para obtener acceso a información confidencial.
Productos afectados:
Notas: vCenter Server vSphere Web Client (FLEX / Flash) no está disponible en vCenter Server 7.x, por lo tanto, este problema no se aplica a la línea de versión de vCenter Server 7.x.
CVE-2021-22049 [CVSSv3 de 6,5]
Las actualizaciones de vCenter Server abordan la vulnerabilidad SSRF en vSphere Web Client
VSphere Web Client (FLEX / Flash) contiene una vulnerabilidad SSRF (Server Side Request Forgery) en el complemento de vSAN Web Client (vSAN UI). Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema accediendo a una solicitud de URL fuera de vCenter Server o accediendo a un servicio interno.
Productos afectados:
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://www.vmware.com/security/advisories... |
Producto | Versión |
---|---|
vCenter Server |
6.7 anteriores a 6.7 U3p 6.5 anteriores a 6.5 U3r |
Cloud Foundation (vCenter Server) |
3.x |