VMware publikuje biuletyn bezpieczeństwa VMSA-2022-0021

cert.pse-online.pl 2 lat temu
Produkt Adostęp – wersje 21.08.0.0 i 21.08.0.1
vIDM – wersje 3.3.4, 3.3.5 i 3.3.6
vRealize Automation (vIDM) — wersja 7.6
VMware Cloud Foundation (vIDM) – wersje 4.3.x, 4.2.xi 4.4.x
vRealize Suite Lifecycle Manager (vIDM) — wersja 8.x
VMware Cloud Foundation (vRA) – wersja 3.x
Numer CVE CVE-2022-31656
Krytyczność 9.8/10
CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę w obejściu uwierzytelniania, która ma wpływ na użytkowników domeny lokalnej. Złośliwy aktor z dostępem sieciowym do interfejsu użytkownika może być w stanie uzyskać dostęp administracyjny bez konieczności uwierzytelniania.
Numer CVE CVE-2022-31657
Krytyczność 5.9/10
CVSS AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N
Opis VMware Workspace ONE Access and Identity Manager zawiera lukę umożliwiającą wstrzyknięcie adresu URL. Złośliwy aktor z dostępem do sieci może być w stanie przekierować uwierzytelnionego użytkownika do dowolnej domeny.
Numer CVE CVE-2022-31658
Krytyczność 8/10
CVSS AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Opis VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę umożliwiającą zdalne wykonanie kodu. Złośliwy aktor z dostępem administratora i sieci może wywołać zdalne wykonanie kodu.
Numer CVE CVE-2022-31659
Krytyczność 8/10
CVSS AV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
Opis VMware Workspace ONE Access and Identity Manager zawiera lukę umożliwiającą zdalne wykonanie kodu. Złośliwy aktor z dostępem administratora i sieci może wywołać zdalne wykonanie kodu.
Numer CVE CVE-2022-31660
Krytyczność 7.8/10
CVSS AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają dwie luki w eskalacji uprawnień. Złośliwy aktor z dostępem lokalnym może eskalować uprawnienia do „root”
Numer CVE CVE-2022-31661
Krytyczność 7.8/10
CVSS AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają dwie luki w eskalacji uprawnień.
Numer CVE CVE-2022-31662
Krytyczność 5.3/10
CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Opis VMware Workspace ONE Access, Identity Manager, Connectors i vRealize Automation zawierają lukę path traversal. Złośliwy aktor z dostępem do sieci może mieć dostęp do dowolnych plików.
Numer CVE CVE-2022-31663
Krytyczność 4.7/10
CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N
Opis VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę w zabezpieczeniach odbijanych skryptów krzyżowych (XSS). Z powodu niewłaściwego oczyszczania danych wejściowych użytkownika złośliwy aktor z pewną interakcją użytkownika może być w stanie wstrzyknąć kod javascript w oknie użytkownika docelowego.
Numer CVE CVE-2022-31664
Krytyczność 7.8/10
CVSS AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Opis VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę w eskalacji uprawnień. Złośliwy aktor z dostępem lokalnym może eskalować uprawnienia do roota.
Numer CVE CVE-2022-31665
Krytyczność 7.6/10
CVSS AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:N
Opis VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę umożliwiającą zdalne wykonanie kodu. Złośliwy aktor z dostępem administratora i sieci może wywołać zdalne wykonanie kodu.
Aktualizacja TAK
Link https://www.vmware.com/security/advisories/VMSA-2022-0021.html
Idź do oryginalnego materiału