VMware a récemment publié un autre ensemble de correctifs corrigeant un certain nombre de vulnérabilités dans plusieurs produits.
les vulnérabilités (CVE-2022-31656, CVE-2022-31657, CVE-2022-31658, CVE-2022-31659, CVE-2022-31660, CVE-2022-31661, CVE-2022-31662, CVE-2022-31663, CVE-2022-31664, CVE-2022-31665) ont été signalés en privé. Les scores de gravité des défauts varient de 4.7 à 9.8 selon le système CVSS.
La liste des produits concernés comprend les éléments suivants:
- Accès VMware Workspace ONE (Accès)
- Connecteur d'accès VMware Workspace ONE (Connecteur d'accès)
- Gestionnaire d'identité VMware (vIDM)
- Connecteur VMware Identity Manager (Connecteur vIDM)
- Automatisation VMware vRealize (vRA)
- VMware Cloud Foundation
- Gestionnaire de cycle de vie vRealize Suite
CVE-2022-31656: Une vulnérabilité de contournement d'authentification
La plus dangereuse des vulnérabilités, rated 9.8, est CVE-2022-31656, ou un problème de contournement d'authentification qui affecte les utilisateurs du domaine local. Ce dernier pourrait être exploité par un acteur malveillant disposant d'un accès au réseau pour obtenir des droits d'administration. La vulnérabilité ne nécessite pas la nécessité de s'authentifier. Selon l'avis de l'entreprise, Accès VMware Workspace ONE, Identity Manager et vRealize Automation sont concernés par cette faille.
Le prochain sur la liste des problèmes résolus en termes de gravité est CVE-2022-31658, une vulnérabilité d'exécution de code à distance notée 8.0. Le problème affecte VMware Workspace ONE Access, Identity Manager et vRealize Automation. La faille peut être exploitée par un acteur malveillant disposant d'un accès administrateur et réseau pour déclencher une condition d'exécution de code à distance.
Une autre vulnérabilité d'exécution de code à distance avec un score CVSS de 8.0 est CVE-2022-31659 dans VMware Workspace ONE Access et Identity Manager.
La société a également corrigé un script intersite réfléchi (XSS) vulnérabilité. CVE-2022-31663 est le résultat d'une mauvaise désinfection de l'utilisateur, et pourrait conduire à l'activation de code JavaScript malveillant.
La liste comprend également trois bogues d'escalade de privilèges locaux connus sous le nom de CVE-2022-31660, CVE-2022-31661, et CVE-2022-31664; une vulnérabilité d'injection d'URL identifiée comme CVE-2022-31657, et un bogue de traversée de chemin attribué à l'identifiant CVE-2022-31662.
Tous les clients concernés doivent appliquer immédiatement les correctifs disponibles.
Le mois dernier, VMware corrigé CVE-2021-22048, une vulnérabilité d'escalade de privilèges très grave dans le mécanisme IWA de VMware vCenter Server, qui affecte également la plateforme hybride Cloud Foundation. Huit mois après la divulgation de la vulnérabilité, la société a publié un correctif pour l'une des versions concernées.