3月2日，VMware官方发布了关于旗下产品VMware View Planner存在远程代码执行漏洞的安全通告，该漏洞CVE编号：CVE-2021-21978。未经验证的攻击者可利用该漏洞上载并执行特制的文件，从而在logupload容器中执行任意代码。建议受影响用户及时安装修复补丁进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

高危

VMware View Planner是VMware官方推出的一款针对view桌面的测试工具。

该漏洞是由于logupload Web应用程序不正确的输入验证以及授权机制的缺失，导致在logupload Web应用程序中可上传任意文件。具有View Planner Harness网络访问权限且未经验证的攻击者可以上载并执行特制的文件，从而在logupload容器中执行任意代码。

• VMware View Planner 4.6

目前VMware官方已发布修复补丁View Planner 4.6 Security Patch 1，建议受影响用户及时更新修复补丁：

https://my.vmware.com/web/vmware/downloads/details?downloadGroup=VIEW-PLAN-460&productId=1067&rPId=53394

https://www.vmware.com/security/advisories/VMSA-2021-0003.html