VMware 為影響多個產品的幾個新缺陷發布補丁
虛擬化服務提供商 VMware 周二發布了更新,以解決影響多個產品的 10 個安全漏洞,這些漏洞可能被未經身份驗證的攻擊者濫用以執行惡意操作。
從 CVE-2022-31656 到 CVE-2022-31665(CVSS 評分:4.7 - 9.8)跟蹤的這些問題影響 VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation 和vRealize Suite 生命周期管理器。
最嚴重的漏洞是 CVE-2022-31656(CVSS 評分:9.8),這是一個影響本地域用戶的身份驗證繞過漏洞,具有網絡訪問權限的不良行為者可以利用該漏洞獲取管理權限。
VMware 還解決了三個與 JDBC 和 SQL 注入相關的遠程代碼執行漏洞(CVE-2022-31658、CVE-2022-31659 和 CVE-2022-31665),這些漏洞可能被具有管理員和網絡訪問權限的對手武器化。
在其他地方,它還修復了一個反射式跨站點腳本 (XSS) 漏洞 (CVE-2022-31663),該漏洞是用戶清理不當的結果,可能導致惡意 JavaScript 代碼激活。
四舍五入的補丁是三個本地權限提升錯誤(CVE-2022-31660、CVE-2022-31661 和 CVE-2022-31664),它們允許具有本地訪問權限的參與者將權限提升到“root”,這是一個 URL 注入漏洞( CVE-2022-31657) 和路徑遍歷錯誤 (CVE-2022-31662)。
雖然成功利用 CVE-2022-31657 可以將經過身份驗證的用戶重定向到任意域,但 CVE-2022-31662 可以使攻擊者以未經授權的方式讀取文件。
VMware 表示,它不知道這些漏洞在野外被利用,但敦促使用易受攻擊產品的客戶立即應用補丁以減輕潛在威脅。
