VMware修复了三个身份验证绕过漏洞已通过)、CVE-2022-31686(身份验证方法失败)和CVE-2022-31687(身份验证控制失败)。据悉,这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。WorkspaceONEAssist可以提供远程控制、屏幕共享、文件系统管理和远程命令执行,以帮助服务后台和IT人员从WorkspaceONE控制台实时远程访问和排除设备故障。未经身份验证的威胁参与者可以在不需要用户交互来提升权限的低复杂性攻击中利用这些漏洞。根据VMware发布的一份声明,一旦拥有WorkspaceONEAssist网络访问权限的恶意攻击者成功利用这些漏洞,他们无需对应用程序进行身份验证即可获得管理访问权限。漏洞现已修复VMware已为Windows客户发布了WorkspaceONEAssist22.10(89993)以修复这些漏洞。此外,VMware还修补了反射式跨站点脚本(XSS)漏洞(CVE-2022-31688)和会话固定漏洞(CVE-2022-31689),前者允许攻击者在目标用户的窗口中注入javascript代码,,这允许攻击者在获得有效会话令牌后进行身份验证。值得一提的是,WorkspaceONEAssist22.10中修补的所有漏洞都是由REQONIT-Security的JasperWesterman、JanvanderPut、YanickdePater和HarmBlankers发现并报告给VMware的。VMware修补了多个安全漏洞8月,VMware警告管理员修补VMwareWorkspaceONEAccess、IdentityManager和vRealizeAutomation中的另一个严重身份验证绕过安全漏洞,该漏洞可能允许未经身份验证的攻击者获得管理权限。同年5月,Mware修补了InnotecSecurity的BrunoLópez在WorkspaceONEAccess、VMwareIdentityManager(vIDM)和vRealizeAutomation中发现的另一个身份验证绕过漏洞(CVE-222)几乎相同的严重漏洞。-22972)。参考文章:https://www.bleepingcomputer.com/news/security/vmware-fixes-three-critical-auth-bypass-bugs-in-remote-access-tool/
