VMware đã vá 5 lỗi bảo mật ảnh hưởng đến giải pháp Workspace ONE Assist của mình, một số lỗi trong số đó có thể bị khai thác để bỏ qua xác thực và có được quyền cao.
Đứng đầu danh sách là ba lỗ hổng nghiêm trọng được theo dõi là CVE-2022-31685, CVE-2022-31686 và CVE-2022-31687. Tất cả các thiếu sót đều được đánh giá 9,8 trên hệ thống chấm điểm lỗ hổng CVSS.
CVE-2022-31685 là một lỗ hổng bỏ qua xác thực có thể bị kẻ tấn công lợi dụng với quyền truy cập mạng vào VMware Workspace ONE Assist để có được quyền truy cập quản trị mà không cần xác thực ứng dụng.
CVE-2022-31686 đã được nhà cung cấp dịch vụ ảo hóa mô tả là lỗ hổng “phương pháp xác thực bị hỏng” và CVE-2022-31687 là lỗ hổng “Kiểm soát truy cập bị hỏng”.
VMware cho biết trong một lời khuyên cho CVE-2022-31686 và CVE-2022-31687: “Một kẻ độc hại có quyền truy cập mạng có thể có quyền truy cập quản trị mà không cần xác thực ứng dụng.
Một lỗ hổng bảo mật khác là một trường hợp lỗ hổng được phản ánh trong tập lệnh chéo trang web (XSS) (CVE-2022-31688, điểm CVSS: 6,4) xuất phát từ việc vệ sinh đầu vào của người dùng không đúng cách, một thứ có thể bị lợi dụng để đưa mã JavaScript tùy ý vào cửa sổ của người dùng mục tiêu .
làm tròn bản vá là một lỗ hổng sửa chữa phiên (CVE-2022-31689, điểm CVSS: 4,2) mà VMware cho biết là kết quả của việc xử lý không đúng mã thông báo phiên, thêm “một tác nhân độc hại có được mã phiên hợp lệ có thể xác thực vào ứng dụng bằng cách sử dụng mã thông báo đó. “
Các nhà nghiên cứu bảo mật Jasper Westerman, Jan van der Put, Yanick de Pater và Harm Blankers của Reqon có trụ sở tại Hà Lan đã được ghi nhận là đã phát hiện và báo cáo các lỗ hổng.
Tất cả các vấn đề ảnh hưởng đến phiên bản 21.x và 22.x của VMware Workspace ONE Assist và đã được khắc phục trong phiên bản 22.10. Công ty cũng cho biết không có cách giải quyết nào giải quyết được các điểm yếu.
