VMware针对影响多个产品的新漏洞发布了关键补丁

VMware发布了安全更新，修补了其产品中的八个漏洞，其中一些漏洞可能被用来发动远程代码执行攻击。

从CVE-2022-22454跟踪到CVE-2022-22461（CVSS分数：5.3 - 9.8），这些问题影响VMware工作空间一个访问、VMware身份管理器、VMware VAware自动化、VMware云基础和VFACE套件生命周期管理器。

八个bug中有五个被评为严重，两个被评为重要，一个被评为中度。奇虎360漏洞研究所的Steven Seeley负责报告所有漏洞。

缺陷列表如下-

• CVE-2022-22954（CVSS得分：9.8）-服务器端模板注入远程代码执行漏洞影响VMware Workspace ONE Access and Identity Manager
• CVE-2022-22955&amp；CVE-2022-22956（CVSS得分：9.8）-OAuth2 ACS身份验证绕过VMware Workspace ONE Access中的漏洞
• CVE-2022-22957&amp；CVE-2022-22958（CVSS得分：9.1）-VMware Workspace ONE Access、Identity Manager和vRealize Automation中存在JDBC注入远程代码执行漏洞
• CVE-2022-22959（CVSS分数：8.8）-VMware Workspace ONE Access、Identity Manager和vRealize Automation中存在跨站点请求伪造（CSRF）漏洞
• CVE-2022-22960（CVSS分数：7.8）-VMware Workspace ONE Access、Identity Manager和vRealize Automation中存在本地权限提升漏洞，以及
• CVE-2022-22961（CVSS得分：5.3）-影响VMware Workspace ONE Access、Identity Manager和vRealize Automation的信息泄露漏洞

成功利用上述漏洞可能会使恶意参与者将权限升级到根用户，获得对目标系统主机名的访问权限，并远程执行任意代码，从而有效地实现完全接管。

VMware在一份警报中表示：“应立即修补或缓解此严重漏洞”。“这种脆弱性的后果是严重的。”

尽管虚拟化服务提供商指出，尚未发现任何证据表明这些漏洞已在野外被利用，但强烈建议应用这些补丁来消除潜在威胁。

该公司警告称：“解决方法虽然方便，但不会消除漏洞，可能会带来补丁无法解决的额外复杂性”。