首页 关于我们 新闻中心 主营业务 人力资源 联系我们
# VMware 官方修复多个 Workspace ONE Access 漏洞 <div style="line-height:30px">近日,VMware 官方测试中心发布了关于 Workspace ONE Access (前称 VMware Identity Manager)的多个漏洞补丁,其中曝光了一个服务器模板注入导致的远程命令执行漏洞(CVE-2022-22954),两个 OAuth2 ACS 身份验证绕过漏洞(CVE-2022-22955, CVE-2022-22956),两个 JDBC 注入导致的远程命令中执行漏洞(CVE-2022-22957,CVE-2022-22958)。<br> Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台,通过 Workspace ONE Access 能够随时随地在任意设备上轻松、安全地交付和管理任意应用。</div> <br> ## 漏洞描述 <div style="line-height:30px"> **CVE-2022-22954**<br> VMware Workspace ONE Access 及 Identity Manager 存在一个由服务器模板注入导致的远程命令执行漏洞,未经身份验证的攻击者可以利用此漏洞进行远程任意代码执行。<br> 该漏洞CVSS评分:9.8,危害等级:严重</div> <div style="line-height:30px"> **CVE-2022-22955、CVE-2022-22956**<br> VMware Workspace ONE Access 存在OAuth2 ACS 身份验证绕过漏洞。未经身份验证的攻击者可以利用该漏洞绕过身份验证机制并对系统中存在的节点进行操作。<br> VMware对该漏洞CVSS评分:9.8,危害等级:严重 </div> <div style="line-height:30px"> **CVE-2022-22957、CVE-2022-22958**<br> VMware Workspace ONE Access, Identity Manager 以及 vRealize Automation 存在由 JDBC 注入导致的远程命令中执行漏洞,未经身份验证的攻击者可以利用此漏洞进行远程任意代码执行。<br> VMware对该漏洞CVSS评分:9.1,危害等级:严重 </div> <div style="line-height:30px"> **CVE-2022-22959**<br> VMware Workspace ONE Access, Identity Manager 以及 vRealize Automation 存在 CSRF跨站请求伪造漏洞,攻击者能够欺骗受害用户无意中完成JDBC URI的验证。<br> VMware对该漏洞CVSS评分:8.8,危害等级:高危 </div> <div style="line-height:30px"> **CVE-2022-22960**<br> VMware Workspace ONE Access, Identity Manager 以及 vRealize Automation 存在本地权限提升漏洞,攻击者可利用该漏洞将权限提升至 root。<br> VMware对该漏洞CVSS评分:7.8,危害等级:高危 </div> <div style="line-height:30px"> **CVE-2022-22961**<br> VMware Workspace ONE Access, Identity Manager 以及 vRealize Automation 存在信息泄露漏洞,具有远程访问权限的攻击者可以获取目标系统主机名信息。<br> VMware对该漏洞CVSS评分:5.3,危害等级:中危 </div> <br> ## FOFA 查询 [app="vmware-Workspace-ONE-Access" || app="vmware-Identity-Manager"](https://fofa.info/result?qbase64=YXBwPSJ2bXdhcmUtV29ya3NwYWNlLU9ORS1BY2Nlc3MifHxhcHA9InZtd2FyZS1JZGVudGl0eS1NYW5hZ2VyIg%3D%3D) <br> ## 影响范围 ``` VMware Workspace ONE Access Appliance (版本号:20.10.0.0 ,20.10.0.1 ,21.08.0.0 ,21.08.0.1 ) VMware Identity Manager Appliance (版本号:3.3.3 , 3.3.4 , 3.3.5 ,3.3.6) VMware Realize Automation (版本号:7.6) ``` <br> ## 修复建议 参考漏洞影响范围进行排查。目前官方已发布修复补丁,请查看官方消息进行修复: https://kb.vmware.com/s/article/88099 <br> **参考来源** https://nosec.org/home/detail/4988.html
苏ICP备2021041225号      南京国云电力有限公司