跳转至

VMware vCenter Server 远程执行代码漏洞 (CVE-2021-21972)

由于对 vSphere vCenter Server中用户提供的输入的验证不足,因此存在该漏洞。远程非身份验证攻击者可以向端口 443/tcp 发送专门制作的 HTTP 请求,并在系统上执行任意代码。

影响版本:

  • VMware vCenter Server 7.0系列 < 7.0.U1c
  • VMware vCenter Server 6.7系列 < 6.7.U3l
  • VMware vCenter Server 6.5系列 < 6.5 U3n

VMware vCenter Server 下载:

链接: https://cld5.irans3.com/dlir-s3/VMware-VCSA-all-7.0.0-15952498.iso

FOFA:

app="vmware-vCenter"

漏洞路径:

https://target/ui/vropspluginui/rest/services/uploadova
POST: name="uploadFile"; filename="xxx.tar"

构造POST包上传tar文件:

Linux可以直接创建../../home/vsphere-ui/.ssh/authorized_keys TAR文件 后直接SSH连;Windows可以直接写入webshell。

批量检测脚本:https://raw.githubusercontent.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC/main/CVE-2021-21972.py

ref: