VMware 多个产品存在漏洞，建议用户立即修补

据外媒网站消息，VMware 多个产品存在严重漏洞，黑客能够利用这些漏洞发起远程代码执行攻击，为了避免这些漏洞被黑客利用，建议用户立即修补漏洞，以防止造成严重后果。

受安全漏洞影响的VMware 产品

VMware 的 Workspace ONE Access、VMware Identity Manager (vIDM)、vRealize Lifecycle Manager、vRealize Automation 和 VMware Cloud Foundation 产品，会受到安全漏洞的影响。

VMware 在公告中表示，每个用户所拥有的环境不同，对风险的容忍度不同，并且有不同的安全控制和深度防御来降低风险，因此客户自行决定是否要修补漏洞。但是，鉴于漏洞的严重性，强烈建议用户立即采取行动，修补漏洞。

漏洞的详细信息

一、CVE-2022-22954 – 服务器端模板注入远程代码执行漏洞；

二、CVE-2022-22955、CVE-2022-22956 – OAuth2 ACS 身份验证绕过漏洞；

三、CVE-2022-22957、CVE-2022-22958 – JDBC 注入远程代码执行漏洞。

四、CVE-2022-22959 – 跨站请求伪造 (CSRF)；

五、CVE-2022-22960 – 权限提升；

六、CVE-2022-22961 – 未经授权的信息泄露。

VMware表示，目前尚未发现这些漏洞在野外被利用的证据

针对一些不能立即打补丁的用户，VMware提供临时解决方案，要求管理员在受影响的虚拟设备上运行一个基于Python的脚本。虽然这个方案简单方便，却不能彻底消除漏洞，只有打补丁才能完全消除这些漏洞。不管是打补丁还是选用临时方案，用户可以自己决定。但是由于消除漏洞的唯一方法是打补丁，因此VMware 强烈建议用户尽快打补丁。