VMware cảnh báo 3 lỗi nghiêm trọng mới ảnh hưởng đến phần mềm hỗ trợ Workspace ONE

Ngày 09 tháng 11 năm 2022Ravie Lakshmanan

VMware đã vá 5 lỗi bảo mật ảnh hưởng đến giải pháp Workspace ONE Assist của họ, một số trong đó có thể bị khai thác để bỏ qua xác thực và có được quyền nâng cao.

Đứng đầu danh sách là ba lỗ hổng nghiêm trọng được theo dõi là CVE-2022-31685, CVE-2022-31686 và CVE-2022-31687. Tất cả những thiếu sót được đánh giá 9,8 trên hệ thống chấm điểm lỗ hổng CVSS.

CVE-2022-31685 là một lỗ hổng bỏ qua xác thực có thể bị kẻ tấn công lợi dụng với quyền truy cập mạng vào VMware Workspace ONE Assist để lấy quyền truy cập quản trị mà không cần xác thực với ứng dụng.

CVE-2022-31686 đã được nhà cung cấp dịch vụ ảo hóa mô tả là lỗ hổng “phương pháp xác thực bị hỏng” và CVE-2022-31687 là lỗ hổng “Kiểm soát truy cập bị hỏng”.

VMware cho biết trong một lời khuyên dành cho CVE-2022-31686 và CVE-2022-31687: “Một tác nhân độc hại có quyền truy cập mạng có thể có được quyền truy cập quản trị mà không cần xác thực ứng dụng”.

Một lỗ hổng khác là trường hợp lỗ hổng kịch bản chéo trang (XSS) được phản ánh (CVE-2022-31688, điểm CVSS: 6.4) xuất phát từ việc vệ sinh đầu vào của người dùng không đúng cách, một thứ có thể bị khai thác để đưa mã JavaScript tùy ý vào cửa sổ của người dùng mục tiêu .

Làm tròn bản vá là một lỗ hổng cố định phiên (CVE-2022-31689, điểm CVSS: 4.2) mà VMware cho biết là kết quả của việc xử lý mã thông báo phiên không đúng cách, thêm vào đó “một tác nhân độc hại có được mã thông báo phiên hợp lệ có thể xác thực đến ứng dụng sử dụng mã thông báo đó.”

Các nhà nghiên cứu bảo mật Jasper Westerman, Jan van der Put, Yanick de Pater và Harm Blankers của Reqon có trụ sở tại Hà Lan đã được ghi nhận là người đã phát hiện và báo cáo các lỗ hổng.

Tất cả các sự cố ảnh hưởng đến phiên bản 21.x và 22.x của VMware Workspace ONE Assist và đã được khắc phục trong phiên bản 22.10. Công ty cũng cho biết không có cách giải quyết nào giải quyết các điểm yếu.