聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
其中三個漏洞CVE-2022-31685、CVE-2022-31686和CVE-2022-31687為嚴重等級的漏洞,CVSS評分均為9.8。
CVE-2022-31685是一個認證繞過缺陷,對VMware Workspace ONE Assist 存在網絡訪問權限的攻擊者可濫用該漏洞獲取管理員訪問權限,而無需在應用中進行認證。
CVE-2022-31686 是一個「認證方法破壞」漏洞,而CVE-2022-31687是一個「訪問控制破壞」漏洞。VMware 在針對這兩個漏洞的安全公告中指出,「具有網絡訪問權限的攻擊者可在無需在應用中認證的情況下,獲得管理員權限」。
其餘漏洞一個是CVE-2022-31688(CVSS評分6.4),是因用戶輸入清理不當導致的反射型XSS漏洞,可用於在目標用戶窗口中注入任意JavaScript代碼。另外一個是會話鎖定漏洞CVE-2022-31689(CVSS評分4.2),因對會話令牌的不當處理而導致。能夠獲得合法會話令牌的攻擊者可通過該令牌在應用中得以認證。
所有這些漏洞均影響VMware Workspace ONE Assist版本 21.x 和22.x ,均已在版本22.10中修復。VMware公司指出,目前尚不存在相關緩解措施。
https://thehackernews.com/2022/11/vmware-warns-of-3-new-critical-flaws.html
題圖:網絡
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表