VMware рекомендует срочно пропатчить критические баги в ряде продуктов

VMware рекомендует клиентам срочно установить патчи, устраняющие критические уязвимости во множестве продуктов компании. В случае эксплуатации этих багов злоумышленники могут выполнить вредоносный код удалённо.

«Последствия от использования этих критических уязвимостей могут быть очень серьёзными, поэтому их нужно пропатчить незамедлительно в соответствии с инструкциями VMSA-2021-0011», — пишут представители VMware.

Всего специалисты перечисляют пять выявленных уязвимостей:

• CVE-2022-22954 — удалённое выполнение кода, инъекция в шаблон на стороне сервера.
• CVE-2022-22955, CVE-2022-22956 — баги обхода аутентификации OAuth2 ACS.
• CVE-2022-22957, CVE-2022-22958 — JDBC-инъекция, приводящая к удалённому выполнению кода.

Разработчики VMware также устранили другие уязвимости, получившие высокую и среднюю степени риска:

• CVE-2022-22959 — межсайтовая подделка запроса (Cross-site request forgery, CSRF).
• CVE-2022-22960 — повышение прав.
• CVE-2022-22961 — доступ к важной информации без аутентификации.

В официальном уведомлении перечислены затронутые продукты:

• VMware Workspace ONE Access (Access)
• VMware Identity Manager (vIDM)
• VMware vRealize Automation (vRA)
• VMware Cloud Foundation
• vRealize Suite Lifecycle Manager