| Produkt | VMware vCenter Server VMware Cloud Foundation |
| Numer CVE | CVE-2021-22005 |
| Krytyczność | 9.8 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Atakujący z dostępem sieciowym do portu 443 na serwerze vCenter Server może wykorzystać ten problem do wykonania kodu na serwerze vCenter Server, przesyłając specjalnie spreparowany plik. |
| Numer CVE | CVE-2021-21991 |
| Krytyczność | 8.8 / 10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| Opis | Atakujący z dostępem nie administracyjnym na hoście vCenter Server może wykorzystać ten problem do eskalacji uprawnień do administratora na kliencie vSphere Client (HTML5) lub vCenter Server vSphere Web Client (FLEX/Flash). |
| Numer CVE | CVE-2021-22006 |
| Krytyczność | 8.3 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L |
| Opis | Atakujący z dostępem sieciowym do portu 443 na vCenter Server może wykorzystać ten problem, aby uzyskać dostęp do zastrzeżonych punktów końcowych. |
| Numer CVE | CVE-2021-22011 |
| Krytyczność | 8.1 / 10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:H |
| Opis | Atakujący z dostępem sieciowym do portu 443 na vCenter Server może wykorzystać ten problem do wykonania nieuwierzytelnionej manipulacji ustawieniami sieci maszyny wirtualnej. |
| Numer CVE | CVE-2021-22015 |
| Krytyczność | 7.8 / 10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Uwierzytelniony użytkownik lokalny może wykorzystać ten problem, aby podnieść swoje uprawnienia do poziomu root na vCenter Server Appliance. |
| Numer CVE | CVE-2021-22012 CVE-2021-22013 |
| Krytyczność | 7.5 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | Atakujący z dostępem sieciowym do portu 443 na vCenter Server może wykorzystać ten problem, aby uzyskać dostęp do poufnych informacji. |
| Numer CVE | CVE-2021-22016 |
| Krytyczność | 7.5 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| Opis | Atakujący może wykorzystać ten problem do wykonania złośliwych skryptów, nakłaniając ofiarę do kliknięcia złośliwego łącza. |
| Numer CVE | CVE-2021-22017 |
| Krytyczność | 7.3 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
| Opis | Atakujący z dostępem sieciowym do portu 443 na vCenter Server może wykorzystać ten problem do ominięcia serwera proxy prowadzącego do uzyskania dostępu do wewnętrznych punktów końcowych. |
| Numer CVE | CVE-2021-22014 |
| Krytyczność | 7.2 / 10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| Opis | Uwierzytelniony użytkownik VAMI z dostępem sieciowym do portu 5480 na serwerze vCenter Server może wykorzystać ten problem do wykonania kodu w bazowym systemie operacyjnym, który obsługuje serwer vCenter Server. |
| Numer CVE | CVE-2021-22018 |
| Krytyczność | 6.5 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
| Opis | Atakujący z dostępem sieciowym do portu 9087 na vCenter Server może wykorzystać ten problem do usunięcia niekrytycznych plików. |
| Numer CVE | CVE-2021-21992 |
| Krytyczność | 6.5 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L |
| Opis | Atakujący z dostępem użytkownika niebędącego administratorem do vCenter Server vSphere Client (HTML5) i vCenter Server vSphere Web Client (FLEX/Flash) może wykorzystać ten problem do wywołania warunku odmowy usługi na hoście vCenter Server. |
| Numer CVE | CVE-2021-22007 |
| Krytyczność | 5.5 / 10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
| Opis | Uwierzytelniony użytkownik z uprawnieniami nieadministracyjnymi może wykorzystać ten problem, aby uzyskać dostęp do poufnych informacji. |
| Numer CVE | CVE-2021-22019 |
| Krytyczność | 5.3 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Opis | Atakujący z dostępem sieciowym do portu 5480 na serwerze vCenter Server może wykorzystać ten problem, wysyłając spreparowaną wiadomość jsonrpc w celu wywołania warunku odmowy usługi. |
| Numer CVE | CVE-2021-22009 |
| Krytyczność | 5.3 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Opis | Atakujący z dostępem sieciowym do portu 443 na serwerze vCenter Server może wykorzystać ten problem do wywołania stanu odmowy usługi z powodu nadmiernego zużycia pamięci przez usługę VAPI. |
| Numer CVE | CVE-2021-22010 |
| Krytyczność | 5.3 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
| Opis | Atakujący z dostępem sieciowym do portu 443 na serwerze vCenter Server może wykorzystać ten problem do wywołania stanu odmowy usługi z powodu nadmiernego zużycia pamięci przez usługę VPXD. |
| Numer CVE | CVE-2021-22008 |
| Krytyczność | 5.3 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| Opis | Atakujący z dostępem sieciowym do portu 443 na vCenter Server może wykorzystać ten problem, wysyłając spreparowaną wiadomość jsonrpc w celu uzyskania dostępu do poufnych informacji. |
| Numer CVE | CVE-2021-22020 |
| Krytyczność | 5.0 /10 |
| CVSS | AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H |
| Opis | Pomyślne wykorzystanie tego problemu może umożliwić atakującemu wywołanie warunku odmowy usługi na serwerze vCenter Server. |
| Numer CVE | CVE-2021-21993 |
| Krytyczność | 4.3 / 10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
| Opis | Upoważniony użytkownik z dostępem do biblioteki treści może wykorzystać ten problem, wysyłając żądanie POST do vCenter Server prowadzące do ujawnienia informacji. |
| Aktualizacja | TAK |
| Link | https://www.vmware.com/security/advisories/VMSA-2021-0020.html |
VMware publikuje biuletyn bezpieczeństwa VMSA-2021-0020
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny