【漏洞预警】VMWare身份验证绕过漏洞

资讯 安识科技
2022-05-31 6,099


1. 通告信息


近日,安识科技A-Team团队监测到一则VMWare身份验证绕过漏洞的信息,当前官方已发布升级补丁以修复漏洞。

对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。


2. 漏洞概述


VMware(威睿)  是一家提供全球桌面到数据中心虚拟化解决方案的厂商。
VMware Workspace ONE Access  是  VMware  公司开发的一款智能驱动型数字化工作空间平台,通过 Workspace ONE Access  能够随时随地在任意设备上轻松、安全地交付和管理任意应用。VMware vRealize Automation 是自动化部署方案云管平台。VMware Cloud Foundation 是 VMware公司混合云平台。vRealize Suite Lifecycle Manager 是 vRealize Suite 生命周期和内容管理平台
CVE-2022-22972
该漏洞是由于 HostHeaderFilter 过滤不严格,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行身份认证绕过攻击,最终以任意用户登录系统。


3. 漏洞危害


攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行身份认证绕过攻击,最终以任意用户登录系统

 

4. 影响版本


VMWare Workspace One Access:

21.08.0.1, 21.08.0.0,20.10.0.1, 20.10.0.0

VMWare Identity Manager:3.3.6, 3.3.5, 3.3.4, 3.3.3

VMWare vRealize Automation:7.6




5. 解决方案

      
      
      
      


当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://kb.vmware.com/s/article/88438


6. 时间轴


-2022531 安识科技A-Team团队监测到VMWare官方发布安全补丁

-2022531 安识科技A-Team团队根据官方公告分析

-2022531 安识科技A-Team团队发布安全通告


本文作者:安识科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/180227.html

Tags:
点赞: 0 评论:0 收藏: 0
新浪微博 QQ空间 微信扫一扫
评论  (0)
快来写下你的想法吧!

安识科技
文章数:190 积分: 135

安识科技:专业的企业安全解决方案提供商。官网:https://www.duoyinsu.com/

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号

活动日程

2022-06-17

Gdevops 全球敏捷运维峰会

2022-05-12

Mastering the Challenge!——来自The 3rd AutoCS 2022智能汽车信息安全大会的邀请函

2021-11-18

AutoSW 2021智能汽车软件开发大会

2021-06-27

2021中国国际网络安全博览会暨高峰论坛

2021-05-27

The 2nd AutoCS 2021智能汽车信息安全大会

2020-12-18

贝壳找房2020 ICS安全技术峰会

2020-12-11

全球敏捷运维峰会(Gdevops2020)

2020-12-04

2020京麒网络安全大会

2020-11-29

OPPO技术开放日第六期|聚焦应用与数据安全防护

2020-11-27

EISS-2020企业信息安全峰会之上海站 11.27

2020-09-24

CSDI summit中国软件研发管理行业技术峰会

2020-09-23

2020中国国际智慧能源暨能源数据中心与网络信息安全装备展览会

2020-07-31

EISS-2020企业信息安全峰会之北京站 | 7.31(周五线上)

2020-04-15

看雪.安恒 2020 KCTF 春季赛

2020-01-09

相约本地生活安全沙龙暨白帽子颁奖典礼