漏洞简介

VMware 是一家云基础架构和移动商务解决方案厂商,View Planner 是他旗下推出的一款针对view桌面的测试工具。2021年03月02日,VMware 官方披露了 CVE-2021-21978 VMware View Planner 远程代码执行漏洞。

VMware View Planner 的 web 上传接口中itrLogPath参数未进行严格的校验,允许攻击者实施目录穿越,将文件上传至任意目录。

View Planner 在处理上传文件时,允许攻击者上传文件至任意目录,攻击者通过构造请求实现远程代码执行,从而控制服务器。

影响版本

  • vmware:view_planner: 4.6

POC详情

Twitter安全研究员已公开该漏洞POC

https://twitter.com/osama_hroot/status/1367258907601698816

修复建议

下载漏洞修复补丁:

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VIEW-PLAN-460&productId=1067&rPId=53394

参考链接

VMSA-2021-0003

https://www.vmware.com/security/advisories/VMSA-2021-0003.html

最新文章

  1. 原生JS实现分页效果2.0(新增了上一页和下一页,添加当前元素样式)
  2. 【转】MySQL数据库MyISAM和InnoDB存储引擎的比较
  3. 基于Linux的oracle数据库管理 part6 (backup 相关的脚本)
  4. 删除Ngnix 日志
  5. 获取或设置checkbox radio select的值
  6. bzoj 1876 [SDOI2009]SuperGCD(高精度+更相减损)
  7. 600字读懂 Git
  8. Parallel.Foreach的并发问题解决方法-比如爬虫WebClient
  9. Javscript中的null和undefined
  10. (C++编程规范第17条)避免使用”魔数“
  11. Servlet过滤器——异常捕获过滤器
  12. android学习记录(三)百度地图错误---只有一个电话显示帧,没有地图内容。
  13. 安装指定版本的docker服务
  14. ABAP 内表访问表达式的性能
  15. android 之TCP客户端编程
  16. 分享一篇 Git Web 开发流程
  17. apiCloud检出代码出现以下图示错误:
  18. Go 的类型断言type assertion
  19. moco操作
  20. 洛谷P1725 琪露诺

热门文章

  1. Java实验项目二——小学生考试系统(简单四则运算)
  2. Python+unittest+excel
  3. 高质量代码优化!谈谈重构项目中if-else代码的几点建议
  4. 「CF547D」 Mike and Fish
  5. POJ 尺取法
  6. 禁用ipv6的两种方法
  7. GCD SUM
  8. Android系统编程入门系列之界面Activity响应多元的属性动画
  9. Python脚本:删除文件夹下的重复图片,实现图片去重
  10. Aria2 任意文件写入