Tags:
Node Thumbnail

VMware ปล่อยแพตช์แก้ช่องโหว่ CVE-2021-21972 แก้ไขช่องโหว่ที่เปิดให้แฮกเกอร์สามารถอัพโหลดไฟล์ขึ้นมารันบน vCenter ได้โดยไม่ต้องล็อกอิน

ช่องโหว่เกิดจากโค้ดส่วนหน้าจอ UI ที่ API เชื่อมต่อหลังบ้านไม่ต้องล็อกอิน และมี API หนึ่งสำหรับการอัพโหลดไฟล์ ไม่ตรวจสอบชื่อไฟล์ ทำให้นักวิจัยจาก Positive Technology สามารถอัพโหลดไฟล์ JSP ขึ้นไปรันบนเซิร์ฟเวอร์ได้สำเร็จ

ช่องโหว่มีคะแนน CVSSv3 ที่ 9.8 คะแนน กระทบ vCenter Server 6.5, 6.7, และ 7.0 ทาง VMware ออกแพตช์เรียบร้อยแล้ว

ที่มา - VMware

No Description

ภาพหน้าจอ VMware 7.0 จาก VMware

Get latest news from Blognone