VMware vCenter任意文件读取漏洞风险通告,腾讯安全建议用户升级到安全版本

2020-10-15 11:07:50
VMware vCenter 存在一处任意文件读取漏洞,腾讯安全已复现该漏洞。

漏洞描述:

VMware vCenter 存在一处任意文件读取漏洞。

 

在 vCenter Web 服务的特定路径下,存在一个未经校验的外部可控参数,可直接传入任意文件路径并返回具体文件内容。

 

远程攻击者通过访问开放在外部的 vCenter 控制台,可以任意读取主机上的文件,可读取 vCenter 配置文件获得管理员帐号密码,进而控制 vCenter 平台及其管理的虚拟机集群。

 

VMware vCenter Server提供了一个可伸缩,可扩展的平台,为虚拟化管理基础平台。VMware vCenter Server(以前称为VMware VirtualCenter),可集中管理VMware vSphere环境,与其他管理平台相比,极大地提高了IT管理员对虚拟环境的控制。

 

漏洞编号:暂缺

 

漏洞等级:高危

 

受影响的版本:

VMware vCenter 6.5.0a-f

 

安全版本:

VMware vCenter 6.5u1

VMware vCenter 7.*

 

安全建议:

腾讯安全专家建议受影响的用户升级到安全版本。

 

漏洞复现和分析:

已知POC

1. 读取vCenter服务器的数据库连接配置文件


2.读取系统级敏感文件


参考链接:

https://www.vmware.com/products/vcenter-server.html




最新资讯