VMware:速修复这三个严重的 Workspace ONE Assist 软件漏洞
编译:代码卫士
其中三个漏洞CVE-2022-31685、CVE-2022-31686和CVE-2022-31687为严重等级的漏洞,CVSS评分均为9.8。
CVE-2022-31685是一个认证绕过缺陷,对VMware Workspace ONE Assist 存在网络访问权限的攻击者可滥用该漏洞获取管理员访问权限,而无需在应用中进行认证。
CVE-2022-31686 是一个“认证方法破坏”漏洞,而CVE-2022-31687是一个“访问控制破坏”漏洞。VMware 在针对这两个漏洞的安全公告中指出,“具有网络访问权限的攻击者可在无需在应用中认证的情况下,获得管理员权限”。
其余漏洞一个是CVE-2022-31688(CVSS评分6.4),是因用户输入清理不当导致的反射型XSS漏洞,可用于在目标用户窗口中注入任意JavaScript代码。另外一个是会话锁定漏洞CVE-2022-31689(CVSS评分4.2),因对会话令牌的不当处理而导致。能够获得合法会话令牌的攻击者可通过该令牌在应用中得以认证。
所有这些漏洞均影响VMware Workspace ONE Assist版本 21.x 和22.x ,均已在版本22.10中修复。VMware公司指出,目前尚不存在相关缓解措施。
这个VMware vCenter Server漏洞去年就已发现,至今仍未修复VMware:立即、马上修复这个严重的认证绕过漏洞!
8个月后,VMware 终于开始修复这个 vCenter 服务器缺陷
VMware多款产品中存在两个严重漏洞,美国国土安全部要求联邦机构5天内修复
https://thehackernews.com/2022/11/vmware-warns-of-3-new-critical-flaws.html
题图:网络
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。