La vulnerabilidad del tipo SSRF (Server Side Request Forgery) detectado en el complemento de vSAN Web Client (vSAN UI), identificada como CVE-2021-22049 de severidad moderada con una puntuación de 6.5-7.5, que podría permitir a un atacante acceder a información sensible o tomar el control del sistema.
La explotación se considera fácil. El ataque se puede efectuar a través de la red. Para explotarla se requiere una autentificación. No se conoce los detalles técnicos ni si existe algún exploit disponible al respecto.
El parche que soluciona esta vulnerabilidad fue incluido en la versión 6.7 U3p de vCenter Server el 23 de noviembre de 2021.
La vulnerabilidad afecta a las versiones 6.5 y 6.7 de vCenter Server.
Recomendaciones:
- Recomendamos actualizar el vCenter Server a la versión 6.7 U3p lo antes posible.
Nota: Antes de descargar e instalar en su servidor de producción, recomendamos probar esto en una máquina de prueba.
Referencia: