使用 VMware 的注意了！这个高危漏洞需尽快修补

VMware 已在近期发布了安全更新（https://www.bleepingcomputer.com/news/security/vmware-patches-critical-auth-bypass-flaw-in-multiple-products/0），以解决影响 Workspace ONE Access、VMware Identity Manager (vIDM) 或 vRealize Automation 的 CVE-2022-22972 漏洞。CVE-2022-22972 是一个相对简单的主机标头漏洞，攻击者可以较为容易的利用此漏洞，绕过 VMware 身份验证，允许攻击者以任何已知的本地用户身份登录。

VMware 还郑重申明：此漏洞的后果很严重。鉴于漏洞的严重性，我们强烈建议立即采取行动！！！尽快修复。

解决 CVE-2022-22972 的最新补丁是 Current Patch Version:  Patch 28。具体操作及补丁下载：https://kb.vmware.com/s/article/70911

该公司还修补了第二个高严重性本地权限提升安全漏洞 (CVE-2022-22973)，该漏洞可让攻击者将未修补设备的权限提升为“root”。

受这些安全漏洞影响的 VMware 产品的完整列表包括：

• VMware Workspace ONE Access（访问）
• VMware 身份管理器 (vIDM)
• VMware vRealize 自动化 (vRA)
• VMware 云基础
• vRealize Suite 生命周期管理器

参考：https://www.bleepingcomputer.com/news/security/vmware-patches-critical-auth-bypass-flaw-in-multiple-products/