一、概要

近日，华为云关注到VMware官方发布安全公告，披露VMware vRealize Operations 存在请求伪造和任意文件写入漏洞（CVE-2021-21975，CVE-2021-21983）。

CVE-2021-21975：vRealize Operations Manager API中的服务器端请求伪造。通过网络访问vRealize Operations Manager API的恶意攻击者可以执行服务器端请求伪造攻击，以窃取管理凭据。

CVE-2021-21983：vRealize Operations Manager API中的任意文件写入。通过网络访问vRealize Operations Manager API的经过身份验证的恶意攻击者可以将文件写入操作系统上的任意位置。

以上两个漏洞结合使用可实现无需认证执行任意代码。

华为云提醒使用VMware vRealize Operations的用户及时安排自检并做好安全加固。

参考链接：VMSA-2021-0004

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

vRealize Operations Manager 7.5.0、8.0.0、8.0.1、8.1.0、8.1.1、8.2.0、8.3.0

四、漏洞处置

目前官方已针对相应的版本发布了修复补丁，请受影响的用户及时升级补丁：

vRealize Operations Manager 7.5.0、8.0.0、8.0.1、8.1.0、8.1.1、8.2.0、8.3.0

华为云WAF具备对该漏洞防御能力。华为云WAF用户将“Web基础防护”状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

注：修复漏洞前请将资料备份，并进行充分测试。