一、背景介绍
3月5日,市委网信办技术支撑单位监测到VMware发布了View Planner的风险通告(CVE-2021-21978)。
1.1漏洞描述
VMware View Planner的web上传接口中itrLogPath参数未进行严格的校验,允许攻击者实施目录穿越,将文件上传至任意目录。在攻击者上传恶意脚本文件覆盖特定的web程序执行脚本时,可造成远程代码执行。
1.2漏洞编号
CVE-2021-21978
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
VMware View Planner 4.6
2.2 修复建议
升级VMware View Planner 至最新版本
参考链接:https://www.vmware.com/security/advisories/VMSA-2021-0003.html