Hackernews 编译,转载请注明出处:
虚拟化服务提供商VMware周二发布了更新,以解决影响多个产品的10个安全漏洞,这些漏洞可能被未经身份验证的攻击者滥用以执行恶意操作。
从CVE-2022-31656到CVE-202-31665(CVSS评分:4.7-9.8)跟踪的漏洞会影响VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation和vRealize Suite Lifecycle Manager。
其中最严重的漏洞是CVE-2022-31656 (CVSS评分:9.8),这是一个影响本地域用户的身份验证绕过漏洞,具有网络访问权限的黑客可以利用该漏洞来获得管理访问权限。
VMware还解决了与JDBC和SQL注入相关的三个远程代码执行漏洞(CVE-2022-31658、CVE-022-31659和CVE-202-31665),这些漏洞可能被具有管理员和网络访问权限的对手武器化。
在其他地方,它还修复了一个反映的跨站点脚本(XSS)漏洞(CVE-2022-31663),该漏洞是用户清理不当的结果,可能会导致恶意JavaScript代码的激活。
其他补丁包括三个本地权限升级漏洞(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664),它们允许具有本地访问权限的参与者将权限升级为“root”,URL注入漏洞(CVE-2022-31657)和路径遍历漏洞(CVE-2022-31662)。
虽然成功利用CVE-2022-31657可以将经过身份验证的用户重定向到任意域,但CVE-202-31662可能会让攻击者以未经授权的方式读取文件。
VMware表示,它不知道有人在野外利用这些漏洞,但敦促使用易受攻击产品的客户立即应用补丁以缓解潜在威胁。
消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文