升级你的VMware 服务器!VMware 针对影响多个产品的新漏洞发布了关键补丁

admin 2022年4月7日21:01:39安全漏洞评论82 views1365字阅读4分33秒阅读模式
升级你的VMware 服务器!VMware 针对影响多个产品的新漏洞发布了关键补丁
  • VMware已发布安全更新,以修补其产品的八个漏洞,其中一些漏洞可能被利用来发起远程代码执行攻击。

0x00 概述

从 CVE-2022-22954 到 CVE-2022-22961(CVSS 分数:5.3 - 9.8)的跟踪研究表明,这些问题会影响 VMware Workspace ONE Access、VMware Identity Manager、VMware vRealize Automation、VMware Cloud Foundation 和 vRealize Suite Lifecycle Manager。八个漏洞中有 5 个被评为"严重",2 个被评为"重要",1 个严重性评级为"中"。报告所有漏洞的是奇虎360漏洞研究所的Steven Seeley。

0x01 漏洞缺陷列表如下-

  • CVE-2022-22954(CVSS 分数:9.8) - 影响 VMware Workspace ONE Access and Identity Manager 的服务器端模板注入远程执行代码漏洞
  • CVE-2022-22955 & CVE-2022-22956 (CVSS 分数:9.8) - OAuth2 ACS 身份验证绕过 VMware Workspace ONE Access 中的漏洞
  • CVE-2022-22957 & CVE-2022-22958 (CVSS 分数:9.1) - VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的 JDBC 注入远程执行代码漏洞
  • CVE-2022-22959(CVSS 分数:8.8)- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的跨站点请求伪造 (CSRF) 漏洞
  • CVE-2022-22960(CVSS 分数:7.8)- VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中的本地权限提升漏洞,以及
  • CVE-2022-22961(CVSS 分数:5.3)- 影响 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 的信息泄露漏洞

成功利用上述弱点可能允许恶意行为者将权限升级到 root 用户,获取对目标系统的主机名的访问权限,并远程执行任意代码,从而有效地允许完全接管。

0x02 在野分析简述

  • VMware在一份材料中报道:"这些关键漏洞应该立即修补或缓解,这种漏洞的后果是严重的"。

  • VMware服务提供商指出,他们并没有看到任何证据表明这些漏洞已被在野外利用,但强烈建议应用补丁来消除潜在的威胁,并且警告到"临时修补办法虽然方便,但并不能消除漏洞,并且可能会带来修补不会带来的额外复杂性。"

关注及时推送最新安全威胁资讯!

升级你的VMware 服务器!VMware 针对影响多个产品的新漏洞发布了关键补丁

「由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,EXP 与 POC 仅仅只供对已授权的目标使用测试,对未授权目标的测试本文库不承担责任,均由本人自行承担。本文库中的漏洞均为公开的漏洞收集,若文库中的漏洞出现敏感内容产生了部分影响,请及时联系作者删除漏洞,望师傅们谅解」

原文始发于微信公众号(Gaobai文库):升级你的VMware 服务器!VMware 针对影响多个产品的新漏洞发布了关键补丁

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月7日21:01:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  升级你的VMware 服务器!VMware 针对影响多个产品的新漏洞发布了关键补丁 http://cn-sec.com/archives/887575.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: