← volver
CVE-2021-21973

CVE-2021-21973

CVSS 5.3 MEDIUMEPSS 88.0%● KEVCWE-918
En resumen

El cliente vSphere contiene una vulnerabilidad que permite a atacantes forzar al servidor a realizar solicitudes no autorizadas a sistemas internos, exponiendo potencialmente información sensible. Un atacante con acceso a la red puede explotarla enviando solicitudes especialmente diseñadas al vCenter Server.

Detalle técnico

Vulnerabilidad SSRF (Server Side Request Forgery) en el plugin vCenter Server causada por validación inadecuada de URLs en el cliente HTML5 vSphere. Los atacantes con acceso al puerto 443 pueden enviar solicitudes POST maliciosas para desencadenar solicitudes del servidor a recursos internos arbitrarios, resultando en divulgación de información. Versiones afectadas: vCenter Server 7.x anterior a 7.0 U1c, 6.7 anterior a 6.7 U3l, 6.5 anterior a 6.5 U3n, y vCloud Foundation 4.x anterior a 4.2, 3.x anterior a 3.10.1.2.

Resumen generado y traducido por IA a partir de la descripción oficial.
The vSphere Client (HTML5) contains an SSRF (Server Side Request Forgery) vulnerability due to improper validation of URLs in a vCenter Server plugin. A malicious actor with network access to port 443 may exploit this issue by sending a POST request to vCenter Server plugin leading to information disclosure. This affects: VMware vCenter Server (7.x before 7.0 U1c, 6.7 before 6.7 U3l and 6.5 before 6.5 U3n) and VMware Cloud Foundation (4.x before 4.2 and 3.x before 3.10.1.2).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Productos afectados
n/a · VMware Cloud Foundationn/a · VMware vCenter Server
PoCs públicas encontradas1
githubgithub.com/freakanonymous/CVE-2021-21973-Automateme1
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-21973https://www.vmware.com/security/advisories/VMSA-2021-0002.html