【漏洞预警】VMWare身份验证绕过漏洞
2022-5-31 17:38:3 Author: www.secpulse.com(查看原文) 阅读量:29 收藏


1. 通告信息

近日,安识科技A-Team团队监测到一则VMWare身份验证绕过漏洞的信息,当前官方已发布升级补丁以修复漏洞。

对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述

VMware(威睿)  是一家提供全球桌面到数据中心虚拟化解决方案的厂商。
VMware Workspace ONE Access  是  VMware  公司开发的一款智能驱动型数字化工作空间平台,通过 Workspace ONE Access  能够随时随地在任意设备上轻松、安全地交付和管理任意应用。VMware vRealize Automation 是自动化部署方案云管平台。VMware Cloud Foundation 是 VMware公司混合云平台。vRealize Suite Lifecycle Manager 是 vRealize Suite 生命周期和内容管理平台
CVE-2022-22972
该漏洞是由于 HostHeaderFilter 过滤不严格,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行身份认证绕过攻击,最终以任意用户登录系统。

3. 漏洞危害

攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行身份认证绕过攻击,最终以任意用户登录系统

4. 影响版本

VMWare Workspace One Access:

21.08.0.1, 21.08.0.0,20.10.0.1, 20.10.0.0

VMWare Identity Manager:3.3.6, 3.3.5, 3.3.4, 3.3.3

VMWare vRealize Automation:7.6

5. 解决方案

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://kb.vmware.com/s/article/88438


6. 时间轴

-2022531 安识科技A-Team团队监测到VMWare官方发布安全补丁

-2022531 安识科技A-Team团队根据官方公告分析

-2022531 安识科技A-Team团队发布安全通告

本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/180227.html


文章来源: https://www.secpulse.com/archives/180227.html
如有侵权请联系:admin#unsafe.sh