VMware vCenter Server 漏洞列表

VMware vCenter Server contains an arbitrary file upload vulnerability in the Analytics service. A malicious actor with network access to port 443 on vCenter Server may exploit this issue to execute code on vCenter Server by uploading a specially crafted file. Analytics 服务相关端点存在目录穿越写文件，可以直接上传 Webshell 文件，并获取 root 权限。

VMware vCenter Server contains an arbitrary file upload vulnerability in the Analytics service. A malicious actor with network access to port 443 on vCenter Server may exploit this issue to execute code on vCenter Server by uploading a specially crafted file.

VMware vCenter Server 是美国威睿（VMware）公司开发的一套服务器和虚拟化管理软件。该漏洞存在于 vCenter Server 的 /ui/vcav-bootstrap/rest/vcav-providers/provider-logo 接口中，攻击者可以通过构造恶意请求读取服务器上的任意文件，可能导致敏感信息泄露，例如系统配置文件和用户凭据。

VMware VCenter Server 缓冲区溢出漏洞

VMware vCenter Server 提供对 vSphere 虚拟基础架构的集中管理。 IT 管理员可以确保安全性和可用性、简化日常任务并降低管理虚拟基础架构的复杂性。攻击者可绕过 rhttpproxy限制，访问内部接口。通过访问vmware-analytics服务中的端点，构造请求修改日志记录的位置，将恶意代码通过日志记录的方式写入指定jsp文件中，从而造成远程代码执行。

VMware vCenter Server存在远程代码执行漏洞，此漏洞是由于缺乏验证导致的。

VMware vCenter Server DCE/RPC 协议实现中存在堆溢出漏洞，对vCenter Server具有网络访问权限的恶意行为者可能会通过发送特制的网络数据包来触发这些漏洞，成功的利用此漏洞可导致远程代码执行。

VMware vCenter Server中存在指针偏移越界漏洞.该漏洞是由于对DCERPC数据包中用户提供的数据校验不正确导致的。

/

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 8.0版本，7.0版本，5.x版本，4.x版本存在安全漏洞，该漏洞源于在DCERPC协议的实现中包含越界写入漏洞。攻击者可利用该漏洞导致远程代码执行。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server存在安全漏洞，该漏洞源于存在释放后重用漏洞，攻击者利用该漏洞可以在底层操作系统上执行任意代码。

VMware是一家云基础架构和移动商务解决方案厂商，提供基于VMware的虚拟化解决方案。VMware vCenterServer是威睿（Vmware）公司的一套服务器和虚拟化管理软件。在CVE-2021-22005中，攻击者可构造恶意请求，通过vCenter中的Analytics服务，可上传恶意文件，从而造成远程代码执行漏洞。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在安全漏洞，该漏洞源于系统设置的文件和文件夹默认权限不正确。本地用户在vCenter Server一体机中可以将访问权限提升为root权限。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在授权问题漏洞，该漏洞源于对URL规范化存在缺陷。远程攻击者可利用该漏洞发送一个特制的URL，绕过认证并访问内部端点。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在访问控制错误漏洞，该漏洞源于缺少对设备管理API的身份验证。远程未经身份验证的攻击者可利用该漏洞访问443端口，从而访问系统上的敏感信息。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。2021年9月22日，VMware 官方发布安全公告，披露了包括 CVE-2021-22005 VMware vCenter Server 任意文件上传漏洞在内的多个中高危严重漏洞。攻击者可构造恶意请求，通过vCenter中的Analytics服务，可上传恶意文件，从而造成远程代码执行漏洞。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在资源管理错误漏洞，该漏洞源于应用程序不能正确控制VPXD (Virtual Provisioning X Daemon)服务内部资源的消耗。远程攻击者可利用该漏洞向端口443 TCP发送一个特别制作的HTTP请求，并消耗所有可用的内存资源。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在信息泄露漏洞，该漏洞源于Analytics服务输出数据过多。本地用户可能获得对系统敏感信息的非法访问权限。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在权限许可和访问控制问题漏洞，该漏洞源于VMware vSphere生命周期管理器插件的安全限制不当。未经身份验证的远程攻击者可利用该漏洞向端口9087发送一个特殊的请求，并删除非关键文件。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在权限许可和访问控制问题漏洞，该漏洞源于vCenter Server处理会话令牌的方式存在问题。本地用户可以通过vSphere Client (HTML5)或vCenter Server vSphere Web Client (FLEX Flash)将用户权限升级为管理员权限。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在资源管理错误漏洞，该漏洞源于在解析XML数据时对用户提供的输入验证不足。远程用户可以向应用程序传递特制的XML数据，并执行拒绝服务(DoS)攻击。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在代码注入漏洞，该漏洞源于VAMI(虚拟设备管理基础设施)中的输入验证不正确。通过身份验证的远程VAMI用户可以向5480端口发送一个特别设计的请求，并在目标系统上执行任意代码。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在输入验证错误漏洞，该漏洞源于VAPI (vCenter API)服务中用户提供的输入没有得到足够的验证。远程攻击者可利用该漏洞将经过特殊设计的jsonrpc消息传递到端口5480 TCP并执行拒绝服务(DoS)攻击。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在资源管理错误漏洞，该漏洞源于应用程序无法正确控制VAPI (vCenter API)服务内部资源的消耗。远程攻击者可利用该漏洞向443 TCP端口发送经过特殊设计的HTTP请求，并执行DoS (denial of service)攻击。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在输入验证错误漏洞，该漏洞源于对Analytics服务中用户提供的输入的验证不足。远程用户可以向应用程序发送一个特制的请求，并执行拒绝服务(DoS)攻击。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在跨站脚本漏洞，该漏洞源于对用户提供的数据没有进行充分的清理。远程攻击者可利用该漏洞诱骗受害者遵循一个特别制作的链接，并在用户的浏览器中执行任意的HTML和脚本代码。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在信息泄露漏洞，该漏洞源于VAPI (vCenter API)服务输出数据过多。访问端口443 TCP的远程攻击者可利用该漏洞获得对系统敏感信息的未授权访问。

Vmware VMware vCenter Server是美国威睿（Vmware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server 存在代码问题漏洞，该漏洞源于对用户提供的输入验证不足导致。远程用户可以发送一个特别设计的HTTP请求，进而上传文件。

VMware vCenterServer是VMware虚拟化管理平台，广泛的应用于企业私有云内网中。通过使用vCenter，管理员可以轻松的管理上百台虚拟化环境，同时也意味着当其被攻击者控制后会造成私有云大量虚拟化环境将被攻击者控制。可以通过443访问vCenterServer的攻击者可以直接通过请求在目标主机上执行任意代码，并接管目标主机。攻击复杂度低，所需的条件少，不需要用户交互。

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。2021年5月26日 VMware 官方发布安全公告，披露了包括 CVE-2021-21985 VMware vCenter Server远程代码执行在内的多个中高危严重漏洞。

VMware vCenter Server提供了一个可伸缩，可扩展的平台，为虚拟化管理基础平台。VMware vCenter Server（以前称为VMware VirtualCenter），可集中管理VMware vSphere环境，与其他管理平台相比，极大地提高了IT管理员对虚拟环境的控制。已知在vCenter 7.x 版本，特定路径下，存在一个未经校验的外部可控参数，可直接传入任意路径并返回具体内容。

VMware是一家云基础架构和移动商务解决方案厂商，提供基于VMware的虚拟化解决方案。2021年2月24日，VMware 官方发布安全公告，披露了多个高危严重漏洞。其中在 CVE-2021-21973 VMware vCenter Server SSRF漏洞 中，攻击者可通过443端口发送恶意POST请求，发起内网扫描，造成SSRF漏洞。

VMware vCenter vrops /uploadova 存在远程代码执行漏洞

vSphere 是 VMware 推出的虚拟化平台套件，包含 ESXi、vCenter Server 等一系列的软件。在 vCenter Server插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求，从而在服务器上写入webshell，最终造成远程任意代码执行

VMware vCenter Server LDAP 管理员创建漏洞

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。 VMware vCenter Server Appliance (vCSA) Update 1之前的5.1版本中存在漏洞。远程经过授权的攻击者可通过Virtual Appliance Management Interface (VAMI)web-接口的访问利用该漏洞创建或重写任意文件，进而可执行任意代码或造成拒绝服务。