一、漏洞详情

VMware发布安全公告，修复了VMware ESXi和vCenter Server中多个高危漏洞，相关CVE编号：CVE-2021-21972，CVE-2021-21973。攻击者可利用漏洞执行远程代码，获取敏感信息等。建议受影响用户及时升级最新版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

1. vSphere Client远程代码执行漏洞（CVE-2021-21972）

vSphere Client（HTML5）在vCenter Server插件中存在远程代码执行漏洞，攻击者可通过端口443访问网络，在托管vCenter Server的操作系统上以不受限制的特权执行任意命令。

2. vSphere Client SSRF（服务端请求伪造）漏洞（CVE-2021-21973）

vSphere Client（HTML5）存在SSRF（服务器端请求伪造）漏洞，由于vCenter Server插件中URL未能正确验证。攻击者可通过端口443访问网络向vCenter Server插件发送POST请求来导致信息泄露。

二、影响范围

1. CVE-2021-21972

VMware vCenter Server 7.0，6.7，6.5

VMware Cloud Foundation（Cloud Foundation）4.X，3.X

2. CVE-2021-21973

VMware vCenter Server 7.0，6.7，6.5

VMware Cloud Foundation（vCenter Server）4.X，3.X

三、修复建议

修复链接：

https://kb.vmware.com/s/article/82374