Vulnerabilidades afectan a VMware vCenter Server y Cloud Foundation

VMware ha publicado un nuevo aviso de seguridad que contempla dos vulnerabilidades de severidad Alta que afectan a VMware vCenter Server (vCenter Server) y VMware Cloud Foundation (Cloud Foundation)

Severidad Alta

CVE-2021-21980 [CVSSv3 de 7,5]
Las actualizaciones de vCenter Server abordan la vulnerabilidad de lectura de archivos arbitrarios en vSphere Web Client

VSphere Web Client (FLEX / Flash) contiene una vulnerabilidad de lectura de archivos arbitrarios no autorizados. Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema para obtener acceso a información confidencial.

Productos afectados:

• vCenter Server:
  •  6.7 anteriores a 6.7 U3p
  •  6.5 anteriores a 6.5 U3r
• Cloud Foundation (vCenter Server); 3.x (Parche pendiente)

Notas: vCenter Server vSphere Web Client (FLEX / Flash) no está disponible en vCenter Server 7.x, por lo tanto, este problema no se aplica a la línea de versión de vCenter Server 7.x.

CVE-2021-22049 [CVSSv3 de 6,5]
Las actualizaciones de vCenter Server abordan la vulnerabilidad SSRF en vSphere Web Client

VSphere Web Client (FLEX / Flash) contiene una vulnerabilidad SSRF (Server Side Request Forgery) en el complemento de vSAN Web Client (vSAN UI). Un actor malintencionado con acceso de red al puerto 443 en vCenter Server puede aprovechar este problema accediendo a una solicitud de URL fuera de vCenter Server o accediendo a un servicio interno.

Productos afectados:

• vCenter Server:
  •  6.7 anteriores a 6.7 U3p
  •  6.5 anteriores a 6.5 U3r
• Cloud Foundation (vCenter Server); 3.x (Parche pendiente)

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.