尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，VMware官方发布关于VMware vCenter远程代码执行漏洞的风险通告，漏洞编号：CVE-2021-29505。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

VMware vCenter Server是VMware虚拟化管理平台，通过使用vCenter，可轻松管理上百台虚拟化环境。
 

该漏洞由于vCenter Server默认启用的插件Virtual SAN Health Check缺少输入验证导致。通过443端口访问到vSphere Client(HTML5)的攻击者，可以构造特殊请求包在目标机器上执行任意代码。

风险等级

高

漏洞风险

攻击者可利用该漏洞远程执行任意代码

影响版本

VMware:vCenter Server - 7.0版本 < 7.0 U2b VMware:vCenter Server - 6.7版本 < 6.7 U3n VMware:vCenter Server - 6.5版本 < 6.5 U3p VMware:Cloud Foundation - 4.x版本 < 4.2.1 VMware:Cloud Foundation - 3.x版本 < 3.10.2.1

安全版本

VMware:vCenter Server - 7.0版本 >= 7.0 U2b VMware:vCenter Server - 6.7版本 >= 6.7 U3n VMware:vCenter Server - 6.5版本 >= 6.5 U3p VMware:Cloud Foundation - 4.x版本 >= 4.2.1 VMware:Cloud Foundation - 3.x版本 >= 3.10.2.1

修复建议

VMware官方已发布安全版本，腾讯云安全建议您尽快升级相关组件，避免影响业务。

下载链接：https://www.vmware.com/security/advisories/VMSA-2021-0010.html

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://www.vmware.com/security/advisories/VMSA-2021-0010.html