【漏洞通告】VMware 8月多個安全漏洞

0x00 漏洞概述

2022年8月2日,VMware發佈安全公告,修復了影響其多個產品的10個安全漏洞,這些漏洞可能導致身份驗證繞過、許可權提升和遠端程式碼執行。

0x01 漏洞詳情

VMware本次修復的漏洞影響了VMware Workspace ONE Access (Access)、VMware Workspace ONE Access Connector (Access Connector)、VMware Identity Manager (vIDM)、VMware Identity Manager Connector (vIDM Connector)、VMware vRealize Automation (vRA)、VMware Cloud Foundation和vRealize Suite Lifecycle Manager產品,詳情如下:

CVE-ID

名稱

評分

說明

CVE-2022-31656

VMware多個產品身份驗證繞過漏洞

9.8

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation中存在一個影響本地域使用者的身份驗證繞過漏洞,可在對 UI 具有網路訪問許可權的情況下利用此漏洞獲得管理訪問許可權。

CVE-2022-31658

VMware多個產品JDBC 注入遠端程式碼執行漏洞

8.0

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 存在安全漏洞,可在具有管理員和網路訪問許可權的情況下利用此漏洞觸發遠端程式碼執行。

CVE-2022-31659

VMware多個產品 SQL 注入遠端程式碼執行漏洞

8.0

VMware Workspace ONE Access 和 Identity Manager 存在安全漏洞,可在具有管理員和網路訪問許可權的情況下利用此漏洞觸發遠端程式碼執行。

CVE-2022-31660、CVE-2022-31661

VMware多個產品本地許可權提升漏洞

7.8

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 存在兩個許可權提升漏洞,可在具有本地訪問許可權的情況下利用此漏洞將許可權提升為root。

CVE-2022-31664

VMware多個產品本地許可權提升漏洞

7.8

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 存在許可權提升漏洞,可在具有本地訪問許可權的情況下利用此漏洞將許可權提升為root。

CVE-2022-31665

VMware多個產品JDBC 注入遠端程式碼執行漏洞

7.6

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 存在安全漏洞,可在具有管理員和網路訪問許可權的情況下利用此漏洞觸發遠端程式碼執行。

CVE-2022-31657

VMware多個產品URL 注入漏洞

5.9

VMware Workspace ONE Access 和 Identity Manager 存在 URL 注入漏洞,可在具有網路訪問許可權的情況下利用此漏洞將經過身份驗證的使用者重定向到任意域。

CVE-2022-31662

VMware多個產品路徑遍歷漏洞

5.3

VMware Workspace ONE Access、Identity Manager、Connectors 和 vRealize Automation 存在路徑遍歷漏洞,可在具有網路訪問許可權的情況下利用此漏洞訪問任意檔案。

CVE-2022-31663

VMware多個產品跨站腳本漏洞

4.7

由於對使用者輸入清理不當,VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 存在反射型跨站腳本 (XSS) 漏洞,可在使用者互動的情況下在目標使用者的窗口中注入 javascript 程式碼。

影響範圍

Access 21.08.x版本:21.08.0.1、21.08.0.0

Identity Manager 3.3.x版本:3.3.6、 3.3.5、3.3.4

vIDM Connector 3.3.6、3.3.5、3.3.4、19.03.0.1

vRealize Automation (vIDM) 7.6(注:vRealize Automation 8.x 不受影響)

VMware Cloud Foundation (vIDM) 4.4.x、4.3.x、4.2.x

vRealize Suite Lifecycle Manager (vIDM) 8.x

VMware Cloud Foundation (vRA) 3.x

0x02 處置建議

目前這些漏洞已經修復,受影響使用者可以及時安裝相應補丁。

下載連結:

https://www.vmware.com/security/advisories/VMSA-2022-0021.html

注:可參考VMware公告頁面-響應矩陣-固定版本中的補丁程序。

0x03 參考連結

https://www.vmware.com/security/advisories/VMSA-2022-0021.html

https://core.vmware.com/vmsa-2022-0021-questions-answers-faq#section1

https://www.bleepingcomputer.com/news/security/vmware-urges-admins-to-patch-critical-auth-bypass-bug-immediately/

0x04 更新版本

版本

日期

修改內容

V1.0

2022-08-03

首次發佈

相關文章

HavanaCrypt冒充 Google 更新程序

HavanaCrypt冒充 Google 更新程序

勒索軟體仍然是當今世界上最大的網路威脅之一。根據 Trend Micro的資料, 2022年第一季度通過電子郵件、URL和檔案層檢測並阻止了...

「C# 不停止膨脹,必將走向滅亡」

「C# 不停止膨脹,必將走向滅亡」

【CSDN 編者按】程式語言更新的頻率是越快越好,還是越慢越好,不斷增加的功能是否真的就是開發者想要的? 原文連結:https://medi...

CNNVD通報Oracle多個安全漏洞

CNNVD通報Oracle多個安全漏洞

近日,CNNVD通報Oracle多個安全漏洞,其中Oracle產品本身漏洞60個,影響到Oracle產品的其他廠商漏洞247個。包括Orac...