当前位置: 首页 > news >正文

VMware 修复了三个身份认证绕过漏洞

Bleeping Computer 网站披露,VMware 近期发布了安全更新,以解决 Workspace ONE Assist
解决方案中的三个严重漏洞,分别追踪为 CVE-2022-31685(认证绕过)、CVE-2022-31686 (认证方法失败)和
CVE-2022-31687
(认证控制失败)。据悉,这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。1667992735_636b8c9f1b4b13affe56f.jpg!small?1667992735334

Workspace ONE Assist 可以提供远程控制、屏幕共享、文件系统管理和远程命令执行,以帮助服务后台和 IT 人员从 Workspace
ONE 控制台实时远程访问设备并排除故障。

未经身份认证的威胁攻击者可以在不需要用户交互进行权限升级的低复杂度攻击中利用这些漏洞。从 VMware 发布的声明来看,一旦具有 Workspace ONE
Assist 网络访问权限的恶意攻击者成功利用这些漏洞,无需对应用程序进行身份验证就可以获得管理访问权限。

** 漏洞现已** ** 修复**

目前,VMware为Windows 已经为客户发布了 Workspace ONE Assist 22.10(89993),对这些漏洞进行了修补。

此外,VMware
还修补了一个反射式跨站脚本(XSS)漏洞(CVE-2022-31688)以及一个会话固定漏洞(CVE-2022-31689),前者允许攻击者在目标用户的窗口中注入
javascript 代码,,后者允许攻击者获得有效会话令牌后进行身份验证。

值得一提的是,Workspace
ONE Assist 22.10 版本修补的所有漏洞都是由 REQON IT-Security的Jasper Westerman、Jan van der
Put、Yanick de Pater 和 Harm Blankers 发现并报告给 VMware 的。

VMware 修复了多个安全漏洞

今年 8 月,VMware 警告管理员要修补 VMware Workspace ONE Access、Identity Manager 和 vRealize
Automation 中另外一个关键身份认证绕过安全漏洞,该漏洞允许未经认证的攻击者获得管理权限。

同年 5 月,Mware 修补了一个几乎相同的关键漏洞,该漏洞是 Innotec Security的Bruno López 在 Workspace ONE
Access、VMware Identity Manager(vIDM)和vRealize Automation
中发现的另一个身份验证绕过漏洞(CVE-222-22972)。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

http://www.lryc.cn/news/7673.html

相关文章:

  • 实现一个简单的Database10(译文)
  • CTF-取证题目解析-提供环境
  • 计算机基础 | 网络篇 | TCP/IP 四层模型
  • 实时数据仓库
  • leetcode 1250. 检查「好数组」
  • JDK动态代理和CGLib动态代理的区别
  • Leetcode.1250 检查「好数组」
  • WMS系统推荐,如何选到适合企业的仓库管理系统
  • C语言的期末复习
  • 强化学习之DQN论文介绍
  • 使用luaBridge添加自己的C++脚本插件能力
  • 再拾起博客
  • Mybatis流式游标查询-大数据DB查询OOM查询问题
  • 以before为例 完成一个aop代理强化方法案例
  • 好记性不如烂笔头之Java基础复习笔记
  • MyBatisPlus
  • 【C语言】编程初学者入门训练(11)
  • HTTP 1.1响应码
  • 常用设计模式介绍
  • 关于货物物品横竖摆放的问题
  • 人员定位需求多,场景目标各不同
  • 怎么解决首屏加载速度过慢的问题
  • 3d视觉相关论文阅读目录汇总
  • 最简单的计算机视觉
  • 泛微采知连,为组织提供安全、合规、智能的数字化文控系统
  • Python if else对缩进的要求
  • java常用设计模式
  • 死锁(5.1)
  • Python 之 Matplotlib 第一个绘图程序和基本方法
  • 数据结构与算法(一):概述