VMware在3月30日发布的公告，表示他们接获通报，并已修补好在vRealize Operation平台的漏洞。他们发现，这些漏洞恐怕会造成系统凭证的外泄，或任意档案写入作业系统的风险。

　　vRealize Operation Manager是监控虚拟环境的执行状况。因此，一旦有漏洞同时又被骇客滥用、发动攻击，就有可能造成重大影响。

　　这次影响vRealize的漏洞共2个，分别是CVE-2021-21975，CVE-2021-21983，其中CVE-2021-21975的漏洞，是在vRealize Operations Manager的API应用方式出了问题，当中潜藏了伺服器端请求伪造（Server Side Request Forgery，SSRF）的弱点，攻击者可透过网路存取来执行伺服器端的请求伪造攻击，以窃取系统管理的身分凭证（此处应为帐号、密码，但也有可能为使用者凭证， VMware并未更具体描述）。此漏洞的CVSS风险评分高达8.6，属於高度风险。

　　而另一个CVE-2021-21983则是任意档案写入的漏洞，通过系统身分验证的攻击者，可经由网路存取vRealize Operations Manager的API，之後，能在这套系统底层搭配的轻量Linux作业系统Photon当中，在任意位置写入档案。这个漏洞的CVSS风险评分也属於高度风险，分数有7.2。

　　整体而言，这两项漏洞，不只影响vRealize Operations Manager（7.5.0、8.0.1、8.1.1、8.2.0版），也牵连VMware Cloud Foundation（4.x和3.x版），以及vRealize Suite Lifecycle Manager（8.x版）。