从CVE--到CVE--(CVSS分数:5.3-9.8)的跟踪研究表明,这些问题会影响VMwareWorkspaceONEAccess、VMwareIdentityManager、VMwarevRealizeAutomation、VMwareCloudFoundation和vRealizeSuiteLifecycleManager。八个漏洞中有5个被评为"严重",2个被评为"重要",1个严重性评级为"中"。报告所有漏洞的是奇虎漏洞研究所的StevenSeeley。
0x01漏洞缺陷列表如下-CVE--(CVSS分数:9.8)-影响VMwareWorkspaceONEAccessandIdentityManager的服务器端模板注入远程执行代码漏洞CVE--CVE--(CVSS分数:9.8)-OAuth2ACS身份验证绕过VMwareWorkspaceONEAccess中的漏洞CVE--CVE--(CVSS分数:9.1)-VMwareWorkspaceONEAccess、IdentityManager和vRealizeAutomation中的JDBC注入远程执行代码漏洞CVE--(CVSS分数:8.8)-VMwareWorkspaceONEAccess、IdentityManager和vRealizeAutomation中的跨站点请求伪造(CSRF)漏洞CVE--(CVSS分数:7.8)-VMwareWorkspaceONEAccess、IdentityManager和vRealizeAutomation中的本地权限提升漏洞,以及CVE--(CVSS分数:5.3)-影响VMwareWorkspaceONEAccess、IdentityManager和vRealizeAutomation的信息泄露漏洞成功利用上述弱点可能允许恶意行为者将权限升级到root用户,获取对目标系统的主机名的访问权限,并远程执行任意代码,从而有效地允许完全接管。
0x02在野分析简述VMware在一份材料中报道:"这些关键漏洞应该立即修补或缓解,这种漏洞的后果是严重的"。
VMware服务提供商指出,他们并没有看到任何证据表明这些漏洞已被在野外利用,但强烈建议应用补丁来消除潜在的威胁,并且警告到"临时修补办法虽然方便,但并不能消除漏洞,并且可能会带来修补不会带来的额外复杂性。"