【漏洞预警】vmware认证绕过

admin 2022年5月29日18:06:44评论70 views字数 943阅读3分8秒阅读模式
【漏洞预警】vmware认证绕过


前言

Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台,通过 Workspace ONE Access 能够随时随地在任意设备上轻松、安全地交付和管理任意应用。


漏洞名称:

VMware 身份验证绕过漏洞

影响范围:

  • VMware Cloud Foundation 4.3.x、4.2.x、4.1、4.0.x、3.x

  • VMware Workspace One Access 21.08.0.1、21.08.0.0、20.10.0.1、20.10.0.0

  • VMware Identity Manager 3.3.6、3.3.5、3.3.4、3.3.3

  • VMware vRealize Automation 7.6

  • vRealize Suite Lifecycle Manager 8.x

漏洞编号:CVE-2022-22972

漏洞类型:权限提升

利用条件:

综合评价:

<利用难度>:低

<威胁等级>:高危 


#1 漏洞描述

该漏洞存在于VMware Workspace ONE Access、Identity Manager 和 vRealize Automation中,对 UI 具有网络访问权限的恶意攻击者可能无需进行身份验证即可获得管理访问权限,利用过程简单。

CVSS等级评分为9.8分(最严重是10 分)。

相关POC已在野利用。

漏洞复现截图:

【漏洞预警】vmware认证绕过


#2 解决方案

VMware 官方已出补丁

https://kb.vmware.com/s/article/88438

https://kb.vmware.com/s/article/88433


#3 参考资料

https://www.vmware.com/security/advisories/VMSA-2022-0014.html

https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-vmware-auth-bypass-bug-patch-now/



【漏洞预警】vmware认证绕过
推 荐 阅 读







【解决方案发布】“发现即控制”——工业互联网欺骗防御科技成果


浅尝辄止: CVE-2022-27666


【漏洞预警】F5 BIG-IP iControl REST身份验证绕过


【漏洞预警】vmware认证绕过


原文始发于微信公众号(锦行信息安全):【漏洞预警】vmware认证绕过

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月29日18:06:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】vmware认证绕过http://cn-sec.com/archives/1064307.html

发表评论

匿名网友 填写信息