Cabecera-v2-web.jpg

Vulnerabilidad SSRF en VMware vSphere Web Client (FLEX/Flash)


26/11/2021

La vulnerabilidad del tipo SSRF (Server Side Request Forgery) detectado en el complemento de vSAN Web Client (vSAN UI), identificada como CVE-2021-22049 de severidad moderada con una puntuación de 6.5-7.5, que podría permitir a un atacante acceder a información sensible o tomar el control del sistema.

Disponible nueva versión de VMware ESXi y vSphere 6.0, te enseñamos a instalarlo | Emibin

La explotación se considera fácil. El ataque se puede efectuar a través de la red. Para explotarla se requiere una autentificación. No se conoce los detalles técnicos ni si existe algún exploit disponible al respecto.

El parche que soluciona esta vulnerabilidad fue incluido en la versión 6.7 U3p de vCenter Server el 23 de noviembre de 2021.

La vulnerabilidad afecta a las versiones 6.5 y 6.7 de vCenter Server.

Recomendaciones:

  • Recomendamos actualizar el vCenter Server a la versión 6.7 U3p lo antes posible.

Nota: Antes de descargar e instalar en su servidor de producción, recomendamos probar esto en una máquina de prueba.

Referencia:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11