一、漏洞详情

vRealize Operations Manager是vmware提供的针对vmware虚拟化平台的一套运维管理解决方案。vRealize Operations Manager存在服务器端请求伪造和任意文件写入漏洞，对应CVE漏洞编号：CVE-2021-21975，CVE-2021-21983。

1.vRealize Operations Manager服务端请求伪造漏洞（CVE-2021-21975）

攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行服务器端请求伪造攻击，以窃取管理凭据。

2.vRealize Operations Manager服务端请求伪造漏洞（CVE-2021-21983）

攻击者可利用该漏洞上传任意文件到服务器上。

攻击者可结合两个漏洞构造恶意请求，可在无需认证的情况下执行任意代码，从而控制服务器。

二、影响范围

vRealize Operations Manager 8.3.0

vRealize Operations Manager 8.2.0

vRealize Operations Manager 8.1.1

vRealize Operations Manager 8.1.0

vRealize Operations Manager 8.0.1

vRealize Operations Manager 8.0.0

vRealize Operations Manager 7.5.0

VMware Cloud Foundation 4.x

VMware Cloud Foundation 3.x

vRealize Suite Lifecycle Manager 8.x

三、修复建议

目前官方已发布漏洞修复补丁，建议受影响用户及时更新相应的漏洞补丁。

参考链接：

vRealize Operations Manager

8.3.0: https://kb.vmware.com/s/article/83210

8.2.0: https://kb.vmware.com/s/article/83095

8.1.1: https://kb.vmware.com/s/article/83094

8.0.1: https://kb.vmware.com/s/article/83093

7.5.0: https://kb.vmware.com/s/article/82367