VMware 修復CVSS評分9.8的身份驗證繞過漏洞

8月2日，虛擬化和云計算巨頭VMware發布了一項重要的安全公告VMSA-2022-0021，通告用戶修復數個在VMware產品中發現的安全漏洞。

這些漏洞包括身份驗證繞過、遠程代碼執行和權限提升。身份驗證繞過漏洞意味著具有Workspace ONE Access、VMware Identity Manager 和 vRealize Automation網絡訪問權限的攻擊者可以獲得管理員訪問權限；遠程代碼執行 （RCE）漏洞意味著攻擊者可以誘使組件執行未經授權的命令；權限提升漏洞意味著具有本地訪問權限的攻擊者可以成為虛擬設備上的 root 用戶。

其中的一個身份驗證繞過漏洞（CVE-2022-31656）是本次修復的最為嚴重的漏洞，CVSS v3基本得分為9.8/10。該漏洞由VNG Security的Petrus Viet報告，他發現該漏洞會影響VMware Workspace ONE Access、Identity Manager和vRealize Automation。

此外，VMware 還修復了以下安全漏洞：

CVE-2022-31657 – URL 注入漏洞

CVE-2022-31658 – JDBC 注入遠程代碼執行漏洞

CVE-2022-31659 – SQL 注入遠程代碼執行漏洞

CVE-2022-31660 – 本地權限提升漏洞

CVE-2022-31661 – 本地權限提升漏洞

CVE-2022-31662 – 路徑遍歷漏洞

CVE-2022-31663 – 跨站腳本（XSS）漏洞

CVE-2022-31664 – 本地權限提升漏洞

CVE-2022-31665 – JDBC 注入遠程代碼執行漏洞

上述問題會影響以下產品：

VMware Workspace ONE Access (Access)

VMware Workspace ONE Access Connector(Access Connector)

VMware Identity Manager (vIDM)

VMware Identity Manager Connector (vIDMConnector)

VMware vRealize Automation (vRA)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

據VMware所說，目前沒有證據表明CVE-2022-31656身份驗證繞過漏洞在攻擊中被利用。但VMware表示盡快采取措施在本地部署中修補或緩解這些問題非常重要，受影響的用戶最好盡快安裝 VMware 安全通報中列出的修補。