【安全通报】VMware vRealize Business for Cloud 远程代码执行漏洞（CVE-2021-21984）

vRealize Business for Cloud是一种自动化的云业务管理解决方案，旨在为IT团队提供云规划，预算和成本分析工具。

近日，vRealize Business for Cloud 安全更新修复了一处远程代码执行漏洞，攻击者可以未授权访问管理界面（VAMI）的升级 API 来利用此漏洞，可造成远程代码执行。

CVE编号

CVE-2021-21984

影响范围

• vRealize Business for Cloud: <7.6.0

修复方案

1. 从 VMware 下载页面下载 vRealize Business for Cloud 7.6 安全补丁程序 ISO 文件。注意：选择 vRealize Business for Cloud 作为产品，然后选择 7.6.0 作为版本，然后单击 Search。选择下面的选项。

   

2. 将 vRealize Business for Cloud 服务器设备 CD-ROM 驱动器连接到您下载的 ISO 文件。

3. 使用根凭据登录到 vRealize Business for Cloud 的 VAMI 门户。

4. 单击 VAMI UI 的“更新”选项卡。

5. 单击更新选项卡下的设置。

6. 选择“更新存储库”下的“使用 CDROM 更新”，然后在上传 ISO 文件和保存设置的位置安装路径。

7. 单击“状态”选项卡下的“安装更新”以升级到此版本。

参考

[1] https://www.vmware.com/security/advisories/VMSA-2021-0007.html

[2] https://mp.weixin.qq.com/s/EJcwcGlLTQTqZX7GOzxtbw

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。