Vulnerabilidad en vCenter Server de VMware

Según un comunicado emitido por el fabricante VMware el 23 de noviembre de 2021, se detectaron dos vulnerabilidades importantes que afectan sus productos:  CVE-2021-21980 y CVE-2021-22049

Las vulnerabilidades fueron reportadas de forma privada a VMware. Se encuentran actualizaciones disponibles para remediar las vulnerabilidades en los productos afectados:

• VMware vCenter Server

• VMware Cloud Foundation (vCenter Server)

¿Cómo me afecta?

CVE-2021-21980

El cliente web de vSphere (FLEX/Flash) contiene una vulnerabilidad la cual permite que un actor maléfico con acceso al puerto 443 del vCenter Server tenga acceso de lectura a cualquier archivo arbitrario y, en consecuencia, pueda acceder a información importante. Esto puede resultar en la divulgación de información confidencial. 

VMware clasificó a esta incidencia como severidad importante.

CVE-2021-22049

El cliente web de vSphere (FLEX/Flash) contiene una vulnerabilidad de SSRF en el plug-in de vSAN Web Client (vSAN UI). Esto permite que un actor maléfico con acceso al puerto 443 de vCenter Server abuse de dicha vulnerabilidad y acceda a solicitudes de URL externos a vCenter Server (conectadose a sistemas externos), o acceda a servicios internos de este. Esto puede resultar en la divulgación de información confidencial.

VMware clasificó a esta incidencia como moderado.

¿A quiénes afecta?

Los productos afectados (con sus respectivas versiones) son los siguientes:

vCenter Server

• 6.7

• 6.5

Cloud Foundation (vCenter Server)

• 3.x

Resolución

No existe workaround para los productos afectados. La única solución para remediar las vulnerabilidades consiste en actualizar los productos.

Se deberán aplicar los parches correspondientes según la versión del producto:

CVE-2021-21980

CVE-2021-22049

Links de referencia

VMSA-2021-0027

KB para la aplicación del parche vCenter Server 6.7 U3p

KB para la aplicación del parche vCenter Server 6.5 U3r

Clasificación de vulnerabilidad según VMware