漏洞描述:
vCenter是VMware提供的集中管理平台,用于管理VMware vSphere环境中的虚拟化资源。它允许管理员对虚拟机、主机、存储和网络进行统一管理和监控。vCenter提供功能如虚拟机部署、自动化管理、资源优化和高可用性,帮助企业提高虚拟化环境的效率和灵活性。vCenter是大规模数据中心和云环境中不可或缺的管理工具,支持集群管理、负载均衡和故障恢复等高级特性。2025年5月22日,启明星辰集团VSRC监测到VMware发布的安全公告,指出VMware vCenter存在认证命令执行漏洞。攻击者在具备创建或修改警报以及执行脚本操作权限时,可能利用该漏洞在vCenter Server上执行任意命令。若该漏洞被成功利用,攻击者可能获得系统控制权限或滥用系统,带来严重的安全风险。漏洞级别高危,漏洞评分8.8分。
影响产品:
vCenter Server 8.0 < 8.0 U3e
vCenter Server 7.0 < 7.0 U3v
VMware Cloud Foundation (vCenter) = 5.x
VMware Cloud Foundation (vCenter) = 4.5.x
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x < 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 3.x < 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x < 7.0 U3v
检测方法:
查看软件版本。
修复方案:
升官方已发布安全更新,建议受影响用户尽快升级。
vCenter Server 8.0 >= 8.0 U3evCenter Server 7.0 >= 7.0 U3v
VMware Telco Cloud Platform (vCenter) 5.x/4.x/3.x/2.x >= 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 3.x >= 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x >= 7.0 U3v。
披露日期:
2025-05-22
