CVE-2021-21978 VMware View Planner 远程代码执行漏洞通告 | 附 POC

2023-08-17 16:21:52

漏洞简介

VMware 是一家云基础架构和移动商务解决方案厂商,View Planner 是他旗下推出的一款针对view桌面的测试工具。2021年03月02日,VMware 官方披露了 CVE-2021-21978 VMware View Planner 远程代码执行漏洞。

VMware View Planner 的 web 上传接口中itrLogPath参数未进行严格的校验,允许攻击者实施目录穿越,将文件上传至任意目录。

View Planner 在处理上传文件时,允许攻击者上传文件至任意目录,攻击者通过构造请求实现远程代码执行,从而控制服务器。

影响版本

  • vmware:view_planner: 4.6

POC详情

Twitter安全研究员已公开该漏洞POC

https://twitter.com/osama_hroot/status/1367258907601698816

CVE-2021-21978 VMware View Planner 远程代码执行漏洞通告 | 附 POC

修复建议

下载漏洞修复补丁:

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VIEW-PLAN-460&productId=1067&rPId=53394

参考链接

VMSA-2021-0003

https://www.vmware.com/security/advisories/VMSA-2021-0003.html

上一篇:eclipse如何导入java项目文件


下一篇:log4net日志在app.config中assembly不起作用