VMware рекомендует клиентам срочно установить патчи, устраняющие критические уязвимости во множестве продуктов компании. В случае эксплуатации этих багов злоумышленники могут выполнить вредоносный код удалённо.
«Последствия от использования этих критических уязвимостей могут быть очень серьёзными, поэтому их нужно пропатчить незамедлительно в соответствии с инструкциями VMSA-2021-0011», — пишут представители VMware.
Всего специалисты перечисляют пять выявленных уязвимостей:
- CVE-2022-22954 — удалённое выполнение кода, инъекция в шаблон на стороне сервера.
- CVE-2022-22955, CVE-2022-22956 — баги обхода аутентификации OAuth2 ACS.
- CVE-2022-22957, CVE-2022-22958 — JDBC-инъекция, приводящая к удалённому выполнению кода.
Разработчики VMware также устранили другие уязвимости, получившие высокую и среднюю степени риска:
- CVE-2022-22959 — межсайтовая подделка запроса (Cross-site request forgery, CSRF).
- CVE-2022-22960 — повышение прав.
- CVE-2022-22961 — доступ к важной информации без аутентификации.
В официальном уведомлении перечислены затронутые продукты:
- VMware Workspace ONE Access (Access)
- VMware Identity Manager (vIDM)
- VMware vRealize Automation (vRA)
- VMware Cloud Foundation
- vRealize Suite Lifecycle Manager