三种身份验证攻击被 VMware 修正

Bleeping Computer博客公布，VMware 近期发布了安全更新，以解决 Workspace ONE Assist 解决方案中的三个严重漏洞，分别追踪为 CVE-2022-31685（认证绕过）、CVE-2022-31686（认证方法失败）和 CVE-2022-31687（认证控制失败）。据悉，这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。

目前，VMware为Windows 已经为客户发布了 Workspace ONE Assist 22.10（89993），对这些漏洞进行了修补。

此外，VMware 还修补了一个反射式跨站脚本（XSS）漏洞（CVE-2022-31688）以及一个会话固定漏洞（CVE-2022-31689），前者允许攻击者在目标用户的窗口中注入javascript 代码，因为后者不同寻常允许网络攻击者在线上获得电子邮件有效会话令牌后方便地进行身份验证。

值得一提的是，Workspace ONE Assist 22.10 版本修补的所有漏洞都是由 REQON IT-Security的Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 发现并报告给 VMware 的。

Mware 修补了一个几乎相同的关键漏洞，该漏洞是 Innotec Security的Bruno López 在 Workspace ONE Access、VMware Identity Manager（vIDM）和vRealize Automation 中发现的另一个身份验证绕过漏洞（CVE-222-22972）。这些攻击可能导致远程代码执行，从而造成数据泄露。在此之前，该漏洞已经被多次利用。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!