2021年09月21日，VMware官方发布安全更新，网络信息管理中心及时更新VMware vCenter Server相关补丁，修复了多个高危漏洞。

漏洞描述 :

漏洞编号文件上传漏洞(CVE-2021-22005)、本地提权漏洞(CVE- 2021-21991)、反向代理绕过漏洞(CVE-2021-22006)、服务端 API 鉴 权漏洞(CVE-2021-22011)、本地提权漏洞(CVE-2021-22015)、未经身份验证的 API 信息泄露漏洞(CVE-2021-22012)、rhttpproxy 绕过漏洞(CVE-2021-22017)、经过身份验证的代码执行漏洞(CVE- 2021-22014)、服务器端请求伪造漏洞(CVE-2021-21993)等。

Vmware vCenter Server默认使用443端口提供服务，攻击者能够利用漏洞进行远程代码执行等攻击。针对此次风险，网络信息管理中心已第一时间安装最新补丁，并完成虚拟化资产自查及修补工作，以免遭受攻击。

漏洞编号：

CVE-2021-2200、CVE-2021-21991、CVE-2021-22006、CVE-2021- 22011、CVE-2021-22015、CVE-2021-22012、CVE-2021-22017、CVE-2021-22014、CVE-2021-21993

漏洞危害 ：

CVE-2021-22005: vCenter Server 在分析服务中包含任意文件上传漏洞。

CVE-2021-21991: vCenter Server处理会话令牌的方式存在缺陷，导致本地提权漏洞。

CVE-2021-22006:由于处理 URI 的方式不合理，vCenter Server存在反向代理旁路漏洞。

CVE-2021-22011: vCenter Server在vCenter Server 内容库中包含一个未经授权的 API 端点漏洞。

CVE-2021-22015:由于文件和目录的不当权限，vCenter Server包含多个本地提权漏洞。

CVE-2021-22012: vCenter Server 存在由于设备管理 API未经授权而出现的信息泄露漏洞。

CVE-2021-22013: vCenter Server存在导致设备管理 API中信息泄露的文件路径横向漏洞。

CVE-2021-22016:缺乏输入过滤导致 vCenter Server 包含反射型跨站脚本漏洞。

CVE-2021-22017: vCenter Server中使用的Rhttproxy 包含由于 URI规范化执行不当而出现的漏洞。

CVE-2021-22014: vCenter Server在VAMI（虚拟设备管理基础架构）中存在已验证代码执行漏洞。

CVE-2021-22018: vCenter Server在VMware vSphere 生命周期管理器插件中存在任意文件删除漏洞。

CVE-2021-21992: vCenter Server存在由于XML实体分析不当而导致的拒绝服务漏洞。

CVE-2021-22007: vCenter Server在分析服务中包含本地信息披露漏洞。

CVE-2021-22019、CVE-2021-22009: vCenter Server 包含 VAPI （vCenter API）服务中的拒绝服务漏洞。

CVE-2021-21993: vCenter Server存在vCenter Server 内容库验证不当导致的 SSRF（服务器侧请求伪造）漏洞。