一、背景介紹

5月7日，市委網信辦技術支撐單位監測到VMware 官方發布了vRealize Business for Cloud 的安全更新公告。修復了一個遠程代碼執行漏洞（CVE-2021-21984）。

1.1漏洞描述

VMware vRealize Business for Cloud是一種自動化的云業務管理解決方案，旨在為IT團隊提供云規劃、預算和成本分析工具。

攻擊者構造惡意請求訪問管理界面（VAMI）升級API，造成遠程代碼執行并控制目標機器。

1.2漏洞編號

CVE-2021-21984

1.3漏洞等級

高危

二、修復建議

2.1 受影響版本

vRealize Business for Cloud: <7.6.0

2.2 修復建議

1、若業務環境允許，使用白名單限制相關web 端口的訪問來降低風險。

2、VMware 官方已發布安全補丁，請受影響用戶及時關注并更新，鏈接如下：

https://my.vmware.com/group/vmware/downloads/details?downloadGroup=VRBC-760&productId=874&rPId=31985