VMware phát hành các bản vá cho một số trang báo mới ảnh hưởng đến nhiều sản phẩm

VMware

Hôm thứ Ba, nhà cung cấp dịch vụ ảo hóa VMware đã gửi các bản cập nhật để giải quyết 10 lỗi bảo mật ảnh hưởng đến nhiều sản phẩm có thể bị những kẻ tấn công chưa xác thực lợi dụng để thực hiện các hành động độc hại.

Các sự cố được theo dõi từ CVE-2022-31656 đến CVE-2022-31665 (điểm CVSS: 4,7 – 9,8) ảnh hưởng đến VMware Workspace ONE Access, Workspace ONE Access Connector, Identity Manager, Identity Manager Connector, vRealize Automation, Cloud Foundation và vRealize Trình quản lý Vòng đời của Suite.

Lỗ hổng nghiêm trọng nhất là CVE-2022-31656 (điểm CVSS: 9,8), lỗ hổng bỏ qua xác thực ảnh hưởng đến người dùng miền cục bộ có thể bị kẻ xấu lợi dụng quyền truy cập mạng để có được quyền truy cập quản trị.

Cũng được giải quyết bởi VMware là ba lỗ hổng mã từ xa (CVE-2022-31658, CVE-2022-31659 và CVE-2022-31665) liên quan đến JDBC và SQL injection có thể được vũ khí hóa bởi kẻ thù có quyền truy cập mạng và quản trị viên.

VMware

Ở những nơi khác, nó cũng đã khắc phục lỗ hổng được phản ánh trong tập lệnh chéo trang web (XSS) (CVE-2022-31663) mà nó cho biết là kết quả của việc vệ sinh người dùng không đúng cách, có thể dẫn đến việc kích hoạt mã JavaScript độc hại.

Làm tròn các bản vá là ba lỗi báo cáo đặc quyền cục bộ (CVE-2022-31660, CVE-2022-31661 và CVE-2022-31664) cho phép một tác nhân có quyền truy cập cục bộ nâng cao đặc quyền lên “root”, lỗ hổng chèn URL ( CVE-2022-31657) và một lỗi truyền qua đường dẫn (CVE-2022-31662).

Xem tiếp:   Lỗi giám đốc đám mây VMware quan trọng có thể cho phép tin tặc chiếm toàn bộ cơ sở hạ tầng đám mây

Mặc dù khai thác thành công CVE-2022-31657 có thể chuyển hướng người dùng đã xác thực đến một miền tùy ý, CVE-2022-31662 có thể trang bị cho kẻ tấn công đọc các tệp theo cách trái phép.

VMware cho biết họ không biết về việc khai thác các lỗ hổng này một cách tự nhiên, nhưng khuyến khích khách hàng sử dụng các sản phẩm dễ bị tấn công áp dụng các bản vá ngay lập tức để giảm thiểu các mối đe dọa tiềm ẩn.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …