■ 漏洞描述
2021年05月06日，VMware发布了vRealize Business for Cloud的风险通告，官方漏洞编号为VMSA-2021-0007，CVE漏洞编号为CVE-2021-21984，漏洞等级：严重，漏洞评分：9.8。
vRealize Business for Cloud是一种自动化的云业务管理解决方案，旨在为IT团队提供云规划，预算和成本分析工具。
对此，建议广大用户及时将vRealize Business for Cloud升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。
简述: 本次安全更新修复了一处远程代码执行漏洞，攻击者可以未授权访问管理界面（VAMI）的升级API来利用此漏洞，可造成远程代码执行。

CVE: CVE-2021-21984
组件: vRealize Business for Cloud
漏洞类型: 代码执行
影响: 服务器接管
 
■ 影响范围
vRealize Business for Cloud: <7.6.0
 
■ 漏洞检测
匹配系统版本
 
■ 漏洞修复
1.从VMware下载页面(https://my.vmware.com/group/vmware/downloads/details?downloadGroup=VRBC-760&productId=874&rPId=31985)下载vRealize Business for Cloud 7.6安全补丁程序ISO文件。 注意：选择vRealize Business for Cloud作为产品，然后选择7.6.0作为版本，然后单击Search。 选择下面的选项。
2.将vRealize Business for Cloud服务器设备CD-ROM驱动器连接到您下载的ISO文件。
3.使用根凭据登录到vRealize Business for Cloud的VAMI门户。
4.单击VAMI UI的“更新”选项卡。
5.单击更新选项卡下的设置。
6.选择“更新存储库”下的“使用CDROM更新”，然后在上传ISO文件和保存设置的位置安装路径。
7.单击“状态”选项卡下的“安装更新”以升级到此版本。
 
■ 临时修复
限制Web管理页面内网访问或加waf防护
 
■ 漏洞详情
https://www.vmware.com/security/advisories/VMSA-2021-0007.html