漏洞概述 漏洞编号: CVE-2026-53475 漏洞标题: assisted-migration-agent: TLS Verification Disabled on All vCenter Connections 状态: NEW 优先级: high 严重程度: high 报告时间: 2026-06-09 18:34 UTC by OSIDB Bzimport 修改时间: 2026-06-10 13:52 UTC 影响范围 产品: Security Response 组件: vulnerability 硬件: All 操作系统: Linux 目标里程碑: ... 分配给: Product Security DevOps Team QA 联系人: ... 文档联系人: ... URL: ... 白板: ... 依赖项: ... 阻塞项: ... 修复方案 修复版本: ... 克隆自: ... 环境: ... 最后关闭: ... 隐藏: ... 描述 仓库: assisted-migration-agent 优先级: High 位置: pkg/vmware/auth.go:78 (and 4+ other sites) 描述: - 每个连接到 vCenter 的代码路径都硬编码了 。 - 在 和 中, 在 中。 - 没有配置选项来提供 CA 捆绑包或启用验证。 安全影响 通过这些连接发送 vCenter 凭据。 任何 MITM 攻击者(ARP 欺骗、恶意 DHCP、被攻陷的交换机)都可以窃取 vCenter 管理员凭据。 可以与 结合使用,用于跨租户凭据窃取。 修复建议 扩展 以包含 和 (默认为 )。 创建 辅助函数,将 CA 加载到 。 替换所有五个硬编码 的站点,使用辅助函数。 添加 CA-upload 字段到 UI。 参见 以获取架构细节。 代码块