聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

VMware 修复了影响 Workspace ONE Assist 解决方案中的五个漏洞，其中一些可悲用于绕过认证并获取提升后的权限。

其中三个漏洞CVE-2022-31685、CVE-2022-31686和CVE-2022-31687为严重等级的漏洞，CVSS评分均为9.8。

CVE-2022-31685是一个认证绕过缺陷，对VMware Workspace ONE Assist 存在网络访问权限的攻击者可滥用该漏洞获取管理员访问权限，而无需在应用中进行认证。

CVE-2022-31686 是一个“认证方法破坏”漏洞，而CVE-2022-31687是一个“访问控制破坏”漏洞。VMware 在针对这两个漏洞的安全公告中指出，“具有网络访问权限的攻击者可在无需在应用中认证的情况下，获得管理员权限”。

其余漏洞一个是CVE-2022-31688（CVSS评分6.4），是因用户输入清理不当导致的反射型XSS漏洞，可用于在目标用户窗口中注入任意JavaScript代码。另外一个是会话锁定漏洞CVE-2022-31689（CVSS评分4.2），因对会话令牌的不当处理而导致。能够获得合法会话令牌的攻击者可通过该令牌在应用中得以认证。

所有这些漏洞均影响VMware Workspace ONE Assist版本 21.x 和22.x ，均已在版本22.10中修复。VMware公司指出，目前尚不存在相关缓解措施。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

---

推荐阅读

VMware修复 Cloud Foundation 中严重的RCE漏洞

这个VMware vCenter Server漏洞去年就已发现，至今仍未修复

VMware：立即、马上修复这个严重的认证绕过漏洞！

8个月后，VMware 终于开始修复这个 vCenter 服务器缺陷

VMware多款产品中存在两个严重漏洞，美国国土安全部要求联邦机构5天内修复

原文链接

https://thehackernews.com/2022/11/vmware-warns-of-3-new-critical-flaws.html

题图：网络‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~