A de leitura de ficheiros, dada pelo CVE-2021-21980, estava presente no vSphere Web Client. Um atacante com acesso à porta 443 do servidor podia obter informação sensível.
A falha de ssrf (ou Server Side Request Forgery), dada pelo CVE-2021-22049, estava presente no plugin vSAN Web Client (vSAN UI). O atacante também com acesso à porta 443 podia explorar a falha e aceder a um serviço interno.
Solução
Aplicar as atualizações
Advisory da VMware: https://www.vmware.com/security/advisories/VMSA-2021-0025.html
Comments