VMware dichtet Schwachstellen in vSphere Web Client ab – zum Teil

In VMwares vSphere Web Client klaffen Sicherheitslücken, durch die Angreifer unter anderem an sensible Informationen gelangen könnten. Mit aktualisierten vSphere-Server-Versionen dichtet der Hersteller die Schwachstellen ab. Die Software Cloud Foundation (vCenter Server) 3.x ist ebenfalls betroffen. Dafür steht eine Aktualisierung dem Hersteller zufolge jedoch noch aus.

Die schwerwiegendste Schwachstelle tat sich dadurch auf, dass der vSphere Web Client ohne Autorisierung beliebige Dateien einlesen konnte (CVE-2021-21980). In Folge dessen könnten Angreifer mit Zugriff auf den Port 443 des vCenter Servers an sensible Informationen gelangen, erläutert VMware in seiner Sicherheitsmeldung. Das Risiko schätzt das Unternehmen als hoch ein und bewertet es mit einem CVSS-Score von 7.5.

Quelle: VMware dichtet Schwachstellen in vSphere Web Client ab – zum Teil | heise online