VMware 修復CVSS評分9.8的身份驗證繞過漏洞

8月2日，虛擬化和雲端計算巨頭VMware釋出了一項重要的安全公告VMSA-2022-0021，通告使用者修復數個在VMware產品中發現的安全漏洞。

這些漏洞包括身份驗證繞過、遠端程式碼執行和許可權提升。身份驗證繞過漏洞意味著具有Workspace ONE Access、VMware Identity Manager 和 vRealize Automation網路訪問許可權的攻擊者可以獲得管理員訪問許可權；遠端程式碼執行 （RCE）漏洞意味著攻擊者可以誘使元件執行未經授權的命令；許可權提升漏洞意味著具有本地訪問許可權的攻擊者可以成為虛擬裝置上的 root 使用者。

其中的一個身份驗證繞過漏洞（CVE-2022-31656）是本次修復的最為嚴重的漏洞，CVSS v3基本得分為9.8/10。該漏洞由VNG Security的Petrus Viet報告，他發現該漏洞會影響VMware Workspace ONE Access、Identity Manager和vRealize Automation。

此外，VMware 還修復了以下安全漏洞：

CVE-2022-31657 – URL 注入漏洞

CVE-2022-31658 – JDBC 注入遠端程式碼執行漏洞

CVE-2022-31659 – SQL 注入遠端程式碼執行漏洞

CVE-2022-31660 – 本地許可權提升漏洞

CVE-2022-31661 – 本地許可權提升漏洞

CVE-2022-31662 – 路徑遍歷漏洞

CVE-2022-31663 – 跨站指令碼（XSS）漏洞

CVE-2022-31664 – 本地許可權提升漏洞

CVE-2022-31665 – JDBC 注入遠端程式碼執行漏洞

上述問題會影響以下產品：

VMware Workspace ONE Access (Access)

VMware Workspace ONE Access Connector (Access Connector)

VMware Identity Manager (vIDM)

VMware Identity Manager Connector (vIDM Connector)

VMware vRealize Automation (vRA)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

據VMware所說，目前沒有證據表明CVE-2022-31656身份驗證繞過漏洞在攻擊中被利用。但VMware表示儘快採取措施在本地部署中修補或緩解這些問題非常重要，受影響的使用者最好儘快安裝 VMware 安全通報中列出的修補程式：

https://kb.vmware.com/s/article/89096

編輯：左右裡

資訊來源：VMware

轉載請註明出處和本文連結

每日漲知識

路由劫持

透過欺騙方式更改路由資訊，導致使用者無法訪問正確的目標，或導致使用者的訪問流量繞行駭客設定的路徑，達到不正當的目的。

﹀

﹀

﹀