推广 热搜: 京东  联通  iphone11  摄像头  企业存储  iPhone  XSKY  京东智能采购  网络安全  自动驾驶 

云安全日报220407:VMware云计算解决方案发现远程代码执行漏洞,需要尽快升级

   日期:2022-04-07     来源:TechWeb.com.cn    作者:itcg    浏览:695    我要评论    
导读:VMware是一家云基础架构和移动商务解决方案厂商,提供基于VMware的虚拟化解决方案。VMware Workspace ONE Access (以前称为 VMware

VMware是一家云基础架构和移动商务解决方案厂商,提供基于VMware的虚拟化解决方案。VMware Workspace ONE Access (以前称为 VMware Identity Manager)是VMware公司智能驱动型数字化工作空间平台。VMware vRealize Automation是自动化部署方案云管平台。VMware Cloud Foundation是VMware公司混合云平台。vRealize Suite Lifecycle Manager是vRealize Suite生命周期和内容管理平台。

4月6日,VMware发布了安全更新,修复了VMware解决方案中发现的远程代码执行等重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://www.vmware.com/security/advisories/VMSA-2022-0011.html

1.CVE-2022-22954 CVSS评分:9.8 严重程度:高

VMware Workspace ONE Access and Identity Manager 包含一个由于服务器端模板注入而导致的远程代码执行漏洞。已知的攻击媒介具有网络访问权限的恶意行为者可以触发可能导致远程代码执行的服务器端模板注入。

2.CVE-2022-22955、CVE-2022-22956 CVSS评分:9.8 严重程度:高

VMware Workspace ONE Access 在 OAuth2 ACS 框架中有两个身份验证绕过漏洞。已知的攻击媒介由于身份验证框架中暴露的端点,恶意行为者可能会绕过身份验证机制并执行任何操作。

3.CVE-2022-22957、CVE-2022-22958 CVSS评分:9.1 严重程度:高

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含两个远程代码执行漏洞。已知的攻击媒介具有管理访问权限的恶意行为者可以通过恶意 JDBC URI 触发不可信数据的反序列化,这可能导致远程代码执行。

4.CVE-2022-22959 CVSS评分:8.8 严重程度:高

VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含一个跨站点请求伪造漏洞。已知的攻击媒介恶意行为者可以通过跨站点请求伪造来欺骗用户,以无意中验证恶意JDBC URI。

5.CVE-2022-22960 CVSS评分:7.8 严重程度:重要

由于支持脚本中的权限不正确,VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含一个权限提升漏洞。已知的攻击媒介具有本地访问权限的恶意行为者可以提升到“root”权限。

6.CVE-2022-22961 CVSS评分:5.3 严重程度:中

由于返回过多信息,VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 包含一个信息泄露漏洞。已知的攻击媒介具有远程访问权限的恶意行为者可能会泄露目标系统的主机名。成功利用此问题可导致针对受害者。

受影响的产品

VMware Workspace ONE Access (Access)

VMware Identity Manager (vIDM)

VMware vRealize Automation (vRA)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

解决方案

VMware官方已经修复上述漏洞,可以参考如下官方修复方案

修复版本:https ://kb.vmware.com/s/article/88099

解决方法: https ://kb.vmware.com/s/article/88098

查看更多漏洞信息 以及升级请访问官网:

https://www.vmware.com/security/advisories.html

 
反对 0举报 0 收藏 0 打赏 0评论 0
 
更多>同类资讯
0相关评论

头条阅读
推荐图文
相关资讯
网站首页  |  物流配送  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  RSS订阅  |  违规举报  |  京ICP备14047533号-2
Processed in 0.295 second(s), 11 queries, Memory 1.49 M