VMware警告影响Workspace ONE Assist软件的3个新的关键缺陷

VMware修补了影响其Workspace ONE Assist解决方案的五个安全漏洞，其中一些漏洞可能被用来绕过身份验证并获得提升的权限。

排名第一的是三个关键漏洞，分别为CVE-2022-31685、CVE-2022-3 1686和CVE-2022-21687。CVSS漏洞评分系统将所有缺点评分为9.8。

CVE-2022-31685是一个身份验证绕过漏洞，攻击者可以通过网络访问VMware Workspace ONE Assist来滥用该漏洞，从而获得管理访问权限，而无需对应用程序进行身份验证。

虚拟化服务提供商将CVE-2022-31686描述为“破坏的身份验证方法”漏洞，将CVE-2032-31687描述为“损坏的访问控制”漏洞。

VMware在针对CVE-2022-31686和CVE-2022-3 1687的咨询中表示：“具有网络访问权限的恶意行为者可以获得管理访问权限，而无需对应用程序进行身份验证”。

另一个漏洞是一个反映的跨站点脚本（XSS）漏洞（CVE-2022-31688，CVSS评分：6.4），该漏洞源于不正确的用户输入净化，可以利用该漏洞在目标用户的窗口中注入任意JavaScript代码。

修补程序的四舍五入是一个会话固定漏洞（CVE-2022-31689，CVSS评分：4.2），VMware表示这是错误处理会话令牌的结果，并补充道“获得有效会话令牌的恶意行为者可能能够使用该令牌向应用程序进行身份验证”。

荷兰Rekon的安全研究人员Jasper Westerman、Jan van der Put、Yanick de Pater和Harm Blankers发现并报告了这些缺陷。

所有问题都会影响VMware Workspace ONE Assist的21.x和22.x版本，并已在22.10版本中修复。该公司还表示，没有解决这些弱点的变通办法。