VMware publikuje biuletyny bezpieczeństwa VMSA-2022-00(20-23)

cert.pse-online.pl 2 lat temu
ProduktVMware vRealize Operations 8.x
Numer CVECVE-2022-31672
Krytyczność7.2/10
CVSSAV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
OpisLuka wynika z tego, iż aplikacja nie nakłada prawidłowo ograniczeń bezpieczeństwa. Użytkownik zdalny z uprawnieniami administracyjnymi może wykonać dowolny kod jako root.
Numer CVECVE-2022-31673
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisLuka istnieje z powodu ujawnienia zrzutów szesnastkowych. Zdalny użytkownik może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie.
Numer CVECVE-2022-31674
Krytyczność6.5/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
OpisLuka istnieje z powodu nadmiernej ilości danych wysyłanych przez aplikację. Zdalny użytkownik może uzyskać nieautoryzowany dostęp do poufnych informacji w systemie.
Numer CVECVE-2022-31675
Krytyczność5.6/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L
OpisNieuwierzytelniony złośliwy aktor z dostępem do sieci może być w stanie utworzyć użytkownika z uprawnieniami administratora.
AktualizacjaTAK
Linkhttps://www.vmware.com/security/advisories/VMSA-2022-0022.html
ProduktVMware Workspace ONE Access (Access)
VMware Workspace ONE Access Connector (Access Connector)
VMware Identity Manager (vIDM)
VMware Identity Manager Connector (vIDM Connector)
VMware vRealize Automation (vRA)
VMware Cloud Foundation vRealize Suite Lifecycle Manager
Numer CVECVE-2022-31656
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisVMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę w zabezpieczeniach obejścia uwierzytelniania, która ma wpływ na użytkowników domeny lokalnej. Złośliwy aktor z dostępem sieciowym do interfejsu użytkownika może być w stanie uzyskać dostęp administracyjny bez konieczności uwierzytelniania.
Numer CVECVE-2022-31658
Krytyczność8.0/10
CVSSAV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
OpisVMware Workspace ONE Access and Identity Manager zawiera lukę umożliwiającą zdalne wykonanie kodu. Złośliwy aktor z dostępem administratora i sieci może wywołać zdalne wykonanie kodu.
Numer CVECVE-2022-31659
Krytyczność8.0/10
CVSSAV:N/AC:H/PR:H/UI:N/S:C/C:H/I:H/A:H
OpisVMware Workspace ONE Access and Identity Manager zawiera lukę umożliwiającą zdalne wykonanie kodu. Złośliwy aktor z dostępem administratora i sieci może wywołać zdalne wykonanie kodu.
Numer CVECVE-2022-31660, CVE-2022-31661
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisVMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają dwie luki w eskalacji uprawnień. Złośliwy aktor z dostępem lokalnym może eskalować uprawnienia do roota.
Numer CVECVE-2022-31664
Krytyczność7.8/10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisVMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę w eskalacji uprawnień. Złośliwy aktor z dostępem lokalnym może eskalować uprawnienia do roota. Złośliwy aktor z dostępem administratora i sieci może wywołać zdalne wykonanie kodu.
Numer CVECVE-2022-31665
Krytyczność7.6/10
CVSSAV:N/AC:L/PR:H/UI:N/S:C/C:L/I:H/A:N
OpisVMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę umożliwiającą zdalne wykonanie kodu.
Numer CVECVE-2022-31657
Krytyczność5.9/10
CVSSAV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N
OpisVMware Workspace ONE Access and Identity Manager zawiera lukę umożliwiającą wstrzyknięcie adresu URL. Złośliwy aktor z dostępem do sieci może być w stanie przekierować uwierzytelnionego użytkownika do dowolnej domeny.
AktualizacjaTAK
Linkhttps://www.vmware.com/security/advisories/VMSA-2022-0021.html

więcej (Umiarkowana dotkliwość)

https://www.vmware.com/security/advisories/VMSA-2022-0023.html

https://www.vmware.com/security/advisories/VMSA-2022-0020.html

Idź do oryginalnego materiału