VMware рекомендует срочно пропатчить критические баги в ряде продуктов

VMware рекомендует срочно пропатчить критические баги в ряде продуктов

VMware рекомендует срочно пропатчить критические баги в ряде продуктов

VMware рекомендует клиентам срочно установить патчи, устраняющие критические уязвимости во множестве продуктов компании. В случае эксплуатации этих багов злоумышленники могут выполнить вредоносный код удалённо.

«Последствия от использования этих критических уязвимостей могут быть очень серьёзными, поэтому их нужно пропатчить незамедлительно в соответствии с инструкциями VMSA-2021-0011», — пишут представители VMware.

Всего специалисты перечисляют пять выявленных уязвимостей:

  • CVE-2022-22954 — удалённое выполнение кода, инъекция в шаблон на стороне сервера.
  • CVE-2022-22955, CVE-2022-22956 — баги обхода аутентификации OAuth2 ACS.
  • CVE-2022-22957, CVE-2022-22958 — JDBC-инъекция, приводящая к удалённому выполнению кода.

Разработчики VMware также устранили другие уязвимости, получившие высокую и среднюю степени риска:

  • CVE-2022-22959 — межсайтовая подделка запроса (Cross-site request forgery, CSRF).
  • CVE-2022-22960 — повышение прав.
  • CVE-2022-22961 — доступ к важной информации без аутентификации.

В официальном уведомлении перечислены затронутые продукты:

  • VMware Workspace ONE Access (Access)
  • VMware Identity Manager (vIDM)
  • VMware vRealize Automation (vRA)
  • VMware Cloud Foundation
  • vRealize Suite Lifecycle Manager