CVE-2021-21978 VMware View Planner 远程代码执行漏洞通告 | 附 POC – 作者:公众号黑客前沿

漏洞简介

VMware 是一家云基础架构和移动商务解决方案厂商，View Planner 是他旗下推出的一款针对view桌面的测试工具。2021年03月02日，VMware 官方披露了 CVE-2021-21978 VMware View Planner 远程代码执行漏洞。

VMware View Planner 的 web 上传接口中itrLogPath参数未进行严格的校验，允许攻击者实施目录穿越，将文件上传至任意目录。
View Planner 在处理上传文件时，允许攻击者上传文件至任意目录，攻击者通过构造请求实现远程代码执行，从而控制服务器。

影响版本

vmware:view_planner: 4.6

POC详情

Twitter安全研究员已公开该漏洞POC

https://twitter.com/osama_hroot/status/1367258907601698816

修复建议

下载漏洞修复补丁：

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VIEW-PLAN-460&productId=1067&rPId=53394

参考链接

VMSA-2021-0003
https://www.vmware.com/security/advisories/VMSA-2021-0003.html

来源：freebuf.com 2021-03-05 10:17:14 by: 公众号黑客前沿