Upozorňujeme na kritickou zranitelnost CVE-2021-21972 umožňující vzdálené spuštění kódu (RCE - remote code execution) ve vSphere Client (HTML5). Vzdálený útočník s přístupem k portu 443 může s pomocí této zranitelnosti spouštět příkazy na hostovském operačním systému. Ke zranitelnosti je již dostupný Proof of Concept  (PoC) i workaround, viz odkazy níže.

Doporučujeme aplikovat workaround výrobce a omezit přístup k vSphere jak z internetu (např. pomocí VPN), tak z vnitřní sítě.

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://swarm.ptsecurity.com/unauth-rce-vmware/

https://github.com/QmF0c3UK/CVE-2021-21972-vCenter-6.5-7.0-RCE-POC