Product | VMware Workspace ONE Access (Access) VMware Identity Manager (vIDM) VMware vRealize Automation (vRA) VMware Cloud Foundation vRealize Suite Lifecycle Manager |
Numer CVE | CVE-2022-22954 |
Krytyczność | 9.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | VMware Workspace ONE Access and Identity Manager zawiera lukę umożliwiającą zdalne wykonanie kodu, spowodowaną wstrzyknięciem szablonu po stronie serwera. |
Numer CVE | CVE-2022-22955, CVE-2022-22956 |
Krytyczność | 9.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | VMware Workspace ONE Access ma dwie luki w zabezpieczeniach związane z obejściem uwierzytelniania w ramach OAuth2 ACS. |
Numer CVE | CVE-2022-22957, CVE-2022-22958 |
Krytyczność | 9.1/10 |
CVSS | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Opis | VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają dwie luki umożliwiające zdalne wykonanie kodu. Złośliwy aktor z dostępem administracyjnym może wywołać deserializację niezaufanych danych przez złośliwy identyfikator JDBC URI, co może spowodować zdalne wykonanie kodu. |
Numer CVE | CVE-2022-22959 |
Krytyczność | 8.8/10 |
CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Opis | VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę umożliwiającą fałszowanie żądań między lokacjami |
Numer CVE | CVE-2022-22960 |
Krytyczność | 8.8/10 |
CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę w eskalacji uprawnień z powodu niewłaściwych uprawnień w skryptach wsparcia. Złośliwy aktor z dostępem lokalnym może eskalować uprawnienia do roota. |
Numer CVE | CVE-2022-22961 |
Krytyczność | 5.3/10 |
CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | VMware Workspace ONE Access, Identity Manager i vRealize Automation zawierają lukę w ujawnieniu informacji spowodowaną zwróceniem nadmiaru informacji. Złośliwy aktor ze zdalnym dostępem może ujawnić nazwę hosta systemu docelowego. Skuteczne wykorzystanie tego problemu może prowadzić do atakowania ofiar. |
Patch available | YES |
Link | https://www.vmware.com/security/advisories/VMSA-2022-0011.html |