VMware敦促IT管理员将此视为紧急情况并立即进行修补。

VMware已修补了一个远程代码利用漏洞，该漏洞再次困扰着其受欢迎的vCenter Server。

这次的问题存在于vSphere HTML5客户端的插件中。无论您是否使用了受影响的Virtual SAN Health插件，该插件都缺乏输入验证这一事实使恶意用户可以利用它在托管vCenter Server的基础操作系统上以不受限制的特权执行命令。

vCenter Server可帮助管理VMware的vSphere和ESXi主机产品，并且广泛用于管理数据中心中的虚拟化实例。

鉴于vCenter的受欢迎程度和漏洞的范围，毫不奇怪，该漏洞的最高严重等级为9.8。

立即修补

根据VMware的安全公告，此漏洞的跟踪名为CVE-2021-21985，会影响vCenter Server v6.5，v6.7和v7.0。

VMware的技术营销架构师Bob Plankers撰写了有关此漏洞的文章，并敦促所有用户尽快应用补丁。

Plankers写道：“无论您是否使用vSAN，通过网络访问vCenter Server以获取访问权限的任何人都可以使用此漏洞，” Plankers要求IT管理员将补丁视为紧急更改，同时他分享了一些技巧。应用补丁。

VMware的迫切性并非没有道理。这是今年的第二个vCenter漏洞，严重等级为9.8。

Ars Technica报告说，恶意用户在披露了先前的漏洞后不久便开始在Internet上扫描易受攻击的服务器，并且他们花了不到一天的时间编写了六打概念验证漏洞。