CVE-2021-21978 — 神龙十问 AI 深度分析摘要

🚨 **本质**：VMware View Planner 日志上传功能存在**未授权文件上传**缺陷。 💥 **后果**：攻击者可上传恶意文件并触发执行，导致 **RCE（远程代码执行）**，控制 `logupload` 容器。

🔍 **根本原因**： 1. **缺乏认证**：日志上传入口未做权限校验。 2. **路径可控**：写入的日志文件路径由用户控制。 3. **覆盖关键文件**：通过覆盖 `log_upload_wsgi.py` 实现代码注入。

🎯 **受影响对象**： 📦 **产品**：VMware View Planner Harness 📌 **版本**：**4.x prior to 4.6** (即 4.6 之前的所有 4.x 版本)。

🕵️ **黑客能力**： ✅ **执行命令**：在 `logupload` Docker 容器内执行任意系统命令。 ⚠️ **注意**：执行环境是容器而非直接宿主系统，但容器权限通常较高，可进一步横向移动。

🚪 **利用门槛**： 📉 **极低**。 🔓 **无需认证**：具有网络访问权的**未授权**攻击者即可利用。 🌐 **条件**：只需能访问目标 Web 管理界面。

💣 **现成 Exp**： ✅ **有**：GitHub 上已有多个 PoC/Exp（如 GreyOrder, me1ons, skytina 等）。 🛠️ **形式**：Go 语言脚本、Python 反弹 Shell、带回显版本等。 🌍 **在野**：已有 Nuclei 模板，自动化扫描广泛。

🔎 **自查方法**： 1. **版本检查**：确认是否为 VMware View Planner 4.x (<4.6)。 2. **端口扫描**：检查 80/443 端口是否开放 View Planner Web 界面。 3. **漏洞扫描**：使用 Nuclei 模板 `CVE-2021-21978.yaml` 进行批量检测。 4. **访问测试**：尝试访问日志上传接口（需结合具体 Exp 验证）。

🛡️ **官方修复**： ✅ **已发布**：VMware 发布了安全公告 **VMSA-2021-0003**。 📥 **方案**：升级至 **View Planner 4.6 Security Patch 1** 或更高版本。

🚧 **无补丁规避**： 1. **网络隔离**：禁止外部网络访问 View Planner Web 管理界面。 2. **WAF 防护**：拦截对日志上传接口的异常 POST 请求。 3. **权限收紧**：确保管理界面仅限内网可信 IP 访问。

⚡ **优先级**： 🔴 **高危**。 📢 **理由**：无需认证、有现成 Exp、直接导致 RCE。 🏃 **建议**：**立即升级**或实施网络隔离，切勿拖延！