组件介绍

VMware vCenter Server是美国威睿（VMware）公司的一套服务器和虚拟化管理软件。该软件提供了一个用于管理VMware vSphere环境的集中式平台，可自动实施和交付虚拟基础架构。

漏洞描述

近日，深信服安全团队监测到一则VMware vCenter Server组件存在SSRF漏洞的信息，暂未分配漏洞编号，漏洞威胁等级：高危。

该漏洞是由于h5-vcav-bootstrap-service组件的getProviderLogo函数中未对provider-logo参数做校验，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行SSRF攻击，最终造成服务器敏感性信息泄露等危害。

影响范围

可能受漏洞影响的资产广泛分布于世界各地，国内省份中受影响资产分布于广东、江苏、浙江等省市。

目前受影响的VMware vCenter Server版本：

VMware vCenter Server 7.0.2

如何检测组件系统版本

登录VMware vCenter Server后，在主机页面中即可查看相应的版本信息。

官方修复建议

最新版本已修复，请更新至7.0.2的最新版本，版本下载地址：

https://customerconnect.vmware.com/patch