一、背景介绍

5月7日，市委网信办技术支撑单位监测到VMware 官方发布了vRealize Business for Cloud 的安全更新公告。修复了一个远程代码执行漏洞（CVE-2021-21984）。

1.1漏洞描述

VMware vRealize Business for Cloud是一种自动化的云业务管理解决方案，旨在为IT团队提供云规划、预算和成本分析工具。

攻击者构造恶意请求访问管理界面（VAMI）升级API，造成远程代码执行并控制目标机器。

1.2漏洞编号

CVE-2021-21984

1.3漏洞等级

高危

二、修复建议

2.1 受影响版本

vRealize Business for Cloud: <7.6.0

2.2 修复建议

1、若业务环境允许，使用白名单限制相关web 端口的访问来降低风险。

2、VMware 官方已发布安全补丁，请受影响用户及时关注并更新，链接如下：

https://my.vmware.com/group/vmware/downloads/details?downloadGroup=VRBC-760&productId=874&rPId=31985