7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到互联网上出现VMware vCenter Server 特定版本的服务器端请求伪造漏洞,该漏洞源于h5-vcav-bootstrap-service组件的getProviderLogo函数中未对provider-logo参数做校验,直接拼接之后进行URL请求,导致漏洞的发生;攻击者通过构造特定的请求,可以访问vCenter Server服务器上的内部网络资源,并可以通过file协议访问任意文件,以及远程恶意页面加载。
【受影响版本】
VMware vCenter 7.0.2.00100
VMware vCenter 7.0.2.00000
VMware vCenter 服务器是一种高级服务器管理软件,提供一个用于控制 VMware vSphere 环境的集中式平台,帮助用户获取集中式可见性、简单高效的规模化管理,从而在整个混合云中自动部署和交付虚拟基础架构。
漏洞复现:
网络 应急团队及时复现了该漏洞:
Copyright 2009-2022 HKBGP Network
