记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

VMware vCenter Server 任意文件读取漏洞

2020-10-17 12:05

VMware vCenter Server 任意文件读取漏洞-极度安全

漏洞简述

2020年10月15日,@ptswarm 发布了 VMware vCenter 任意文件读取的风险通告,漏洞等级: 高危 ,漏洞评分: 7.5 。

远程攻击者通过访问开放在外部的 vCenter 控制台,可以任意读取主机上的文件。(可读取 vCenter 配置文件获得管理帐号密码)进而控制 vCenter 平台及其管理的虚拟机集群。

建议广大用户及时将 vcenter_server 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

风险等级

威胁等级 高危
影响面 一般

漏洞详情

VMware vCenter 任意文件读取漏洞

VMware vCenter 存在一处任意文件读取漏洞。

在 vCenter Web 服务的特定路径下,存在一个未经校验的外部可控参数,可直接传入任意文件路径并返回具体文件内容。

远程攻击者通过访问开放在外部的 vCenter 控制台,可以任意读取主机上的文件。(可读取 vCenter 配置文件获得管理帐号密码)进而控制 vCenter 平台及其管理的虚拟机集群。

影响版本

vmware:vcenter_server : <=6.5.0

修复建议

升级到

VMware vCenter 6.5.0u1
VMware vCenter 7.*


知识来源: https://www.secvery.com/2768.html

阅读:8843 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“VMware vCenter Server 任意文件读取漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云