CVE-2021-21985 | CVE-2021-21986
Descripción
Se han reportado dos vulnerabilidades en el mecanismo de autenticación de varios productos de VMware. Una vulnerabilidad crítica de ejecución remota de código y una de severidad media.
- CVE-2021-21985: El cliente de vSphere (HTML5) contiene una vulnerabilidad de ejecución remota de código debido a la falta de validación de los datos de entrada en el complemento Virtual SAN Health Check que está habilitado por defecto en vCenter Server. Un atacante, con acceso de red al puerto 443, podría aprovecharlo para ejecutar comandos con privilegios no restringidos en el sistema operativo subyacente que aloja vCenter Server.
- Para la vulnerabilidad con severidad media, se ha asignado el identificador CVE-2021-21986.
Recursos afectados
vCenter Server, versiones:
- 7.0.
- 6.7.
- 6.5.
Cloud Foundation (vCenter Server), versiones:
- 4.x.
- 3.x.
Solución
Actualizar los productos afectados a las siguientes versiones:
vCenter Server:
- 7.0 U2b.
- 6.7 U3n.
- 6.5 U3p.
Cloud Foundation (vCenter Server):
- 4.2.1.
- 3.10.2.1.
