VMware本周二(8/2)修补了旗下产品的10个安全漏洞,其中CVE-2022-31656的CVSS风险评分高达9.8,为一认证旁路(Authentication Bypass)漏洞,也被列为必须立即修补的重大漏洞。
CVE-2022-31656漏洞存在于VMware Workspace ONE Access、Identity Manager与vRealize Automation等服务中,VMware安全暨合规架构师Bob Plankers解释,该漏洞代表黑客只要能经由网络访问上述3项服务,就有机会绕过身份认证,取得管理员权限。
幸好此次VMware所修补的漏洞都尚未收到遭到滥用的消息,包括CVE-2022-31656在内。
本次VMware公布的其他漏洞,涵盖远程程序攻击、权限扩张、路径穿越与跨站脚本攻击等,除了上述产品受影响,还涉及多个组件或软件的安全性,包含:VMware Workspace ONE Access Connector、VMware Identity Manager Connector、VMware Cloud Foundation、vRealize Suite Lifecycle Manager。