该漏洞源于h5-vcav-bootstrap-service组件的getProviderLogo函数中未对provider-logo参数做校验，直接拼接之后进行URL请求，导致漏洞的发生； 攻击者通过构造特定的请求，可以访问vCenter Server服务器上的内部网络资源，并可以通过file协议访问任意文件，以及远程恶意页面加载。 截止到通告发布，VMware vCenter 官方还未发布相关补丁，目前只披露7.0.2.00100,7.0.2.00000受该漏洞影响，其它受影响版本不详

请关注官方修复版本，及时更新到最新版本。禁用包含 vcav-providers/provider-logo 路径的连接访问 禁止 VMware vCenter 的公网访问