Upozorňujeme na kritickou zranitelnost CVE-2021-21972 umožňující vzdálené spuštění kódu (RCE - remote code execution) ve vSphere Client (HTML5). Vzdálený útočník s přístupem k portu 443 může s pomocí této zranitelnosti spouštět příkazy na hostovském operačním systému. Ke zranitelnosti je již dostupný Proof of Concept (PoC) i workaround, viz odkazy níže.
Doporučujeme aplikovat workaround výrobce a omezit přístup k vSphere jak z internetu (např. pomocí VPN), tak z vnitřní sítě.
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
https://swarm.ptsecurity.com/unauth-rce-vmware/
https://github.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC