VMware 为影响多个产品的几个新缺陷发布补丁
虚拟化服务提供商 VMware 周二发布了更新,以解决影响多个产品的 10 个安全漏洞,这些漏洞可能被未经身份验证的攻击者滥用以执行恶意操作。
从 CVE-2022-31656 到 CVE-2022-31665(CVSS 评分:4.7 - 9.8)跟踪的这些问题影响 VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation 和vRealize Suite 生命周期管理器。
最严重的漏洞是 CVE-2022-31656(CVSS 评分:9.8),这是一个影响本地域用户的身份验证绕过漏洞,具有网络访问权限的不良行为者可以利用该漏洞获取管理权限。
VMware 还解决了三个与 JDBC 和 SQL 注入相关的远程代码执行漏洞(CVE-2022-31658、CVE-2022-31659 和 CVE-2022-31665),这些漏洞可能被具有管理员和网络访问权限的对手武器化。
在其他地方,它还修复了一个反射式跨站点脚本 (XSS) 漏洞 (CVE-2022-31663),该漏洞是用户清理不当的结果,可能导致恶意 JavaScript 代码激活。
四舍五入的补丁是三个本地权限提升错误(CVE-2022-31660、CVE-2022-31661 和 CVE-2022-31664),它们允许具有本地访问权限的参与者将权限提升到“root”,这是一个 URL 注入漏洞( CVE-2022-31657) 和路径遍历错误 (CVE-2022-31662)。
虽然成功利用 CVE-2022-31657 可以将经过身份验证的用户重定向到任意域,但 CVE-2022-31662 可以使攻击者以未经授权的方式读取文件。
VMware 表示,它不知道这些漏洞在野外被利用,但敦促使用易受攻击产品的客户立即应用补丁以减轻潜在威胁。
