Kriittiseksi luokiteltu VMware-päivityspaketti korjaa haavoittuvuuksia useista tuotteista

Haavoittuvuus13/2022CVSS 9.8

Julkaistu 03.08.2022

Päivitetty 10.08.2022 8:19

VMware julkaisi päivityspaketin, joka korjaa kriittiseksi luokitellun haavoittuvuuden. Haavoittuvuuteen on olemassa toimiva hyväksikäyttökeino. Päivitykset on syytä asentaa pikimmiten.

VMwaren päivityspaketti korjaa VMware Workspace ONE Access, VMware Identity Manager ja VMware vRealize Automation -tuotteista kriittisen haavoittuvuuden CVE-2022-31656. Lisäksi päivityspaketti korjaa muita haavoittuvuusksia VMware Access Connectorista ja Identity Manager Connectorista. Kriittistä haavoittuvuutta hyväksikäyttämällä hyökkääjä voi verkon yli käyttöliittymään päästyään saada pääkäyttäjätason oikeudet ilman todentamista. VMwaren mukaan korjaavat päivitykset tulisi asentaa mahdollisimman pian.

Kohde

Palvelimet ja palvelinsovellukset

Hyökkäystapa

Etäkäyttö
Ilman kirjautumista

Vaikutukset

Suojauksen ohittaminen
Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

ONE Access

Identity Manager

vRealize automation

Mistä on kysymys?

Päivityksien asentaminen.

VMware: VMware advisory VMSA-2022-0021 (ulkoinen linkki) (Ulkoinen linkki)

BleepingComputer: VMware Public Exploit for Critical Auth Bypass Vulnerability (ulkoinen linkki) (Ulkoinen linkki)

10.08.2022 8:19

Poc julkaistu, uusi linkki, CVE-numeron lisääminen