可用-黑客

针对影响多个产品的新漏洞,VMware 发布安全补丁

  • 浏览次数 7285
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

vmware

虚拟化服务提供商VMware周二发布了更新,以解决影响多个产品的10个安全漏洞,这些漏洞可能被未经身份验证的攻击者滥用以执行恶意操作。

从CVE-2022-31656到CVE-202-31665(CVSS评分:4.7-9.8)跟踪的漏洞会影响VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation和vRealize Suite Lifecycle Manager。

其中最严重的漏洞是CVE-2022-31656 (CVSS评分:9.8),这是一个影响本地域用户的身份验证绕过漏洞,具有网络访问权限的黑客可以利用该漏洞来获得管理访问权限。

VMware还解决了与JDBC和SQL注入相关的三个远程代码执行漏洞(CVE-2022-31658、CVE-022-31659和CVE-202-31665),这些漏洞可能被具有管理员和网络访问权限的对手武器化。

flaws

在其他地方,它还修复了一个反映的跨站点脚本(XSS)漏洞(CVE-2022-31663),该漏洞是用户清理不当的结果,可能会导致恶意JavaScript代码的激活。

其他补丁包括三个本地权限升级漏洞(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664),它们允许具有本地访问权限的参与者将权限升级为“root”,URL注入漏洞(CVE-2022-31657)和路径遍历漏洞(CVE-2022-31662)。

虽然成功利用CVE-2022-31657可以将经过身份验证的用户重定向到任意域,但CVE-202-31662可能会让攻击者以未经授权的方式读取文件。

VMware表示,它不知道有人在野外利用这些漏洞,但敦促使用易受攻击产品的客户立即应用补丁以缓解潜在威胁。

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文