رفع آسیب‌پذیری‌ در محصولات VMWARE
کد مطلب: 19268
تاریخ انتشار : شنبه ۱۵ مرداد ۱۴۰۱ ساعت ۱۳:۰۲
 
شرکت VMware چند آسیب‌پذیری امنیتی را در محصولات خود برطرف کرده است.
رفع آسیب‌پذیری‌ در محصولات VMWARE
 
 
Share/Save/Bookmark
شرکت VMware چند آسیب‌پذیری امنیتی را در محصولات خود برطرف کرده است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، شرکت VMware تعداد ۱۰ آسیب‌پذیری امنیتی را در محصولات خود برطرف کرده است. این شرکت همچنین در خصوص وصله‌ی ‫آسیب‌پذیری بحرانی دور زدن فرایند احراز هویت در برخی از محصولات خود که کاربران local domain را تحت تأثیر قرار می‌دهد و مهاجم احراز‌ هویت‌ نشده را قادر می‌سازد تا امتیازات ادمین را به دست آورد، به مدیران هشدار داد.

جزئیات آسیب‌پذیری
CVE-۲۰۲۲-۳۱۶۵۶: این آسیب‌پذیری با شدت بحرانی (۹.۸ از ۱۰)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص دور زدن فرآیند احراز هویت است که کاربران local domain را تحت تأثیر قرار می‎دهد. یک مهاجم با دسترسیِ شبکه به رابط کاربری ممکن است بتواند بدون نیاز به احراز هویت دسترسی ادمین را به دست آورد.

CVE-۲۰۲۲-۳۱۶۵۸: این آسیب‌پذیری با شدت بالا (۸.۰ از ۱۰)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق JDBC است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا کند.

CVE-۲۰۲۲-۳۱۶۵۹: این آسیب‌پذیری با شدت بالا (۸.۰ از ۱۰)، که در محصولات VMware Workspace ONE Access و Identity Manager شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق SQL است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا کند.

CVE-۲۰۲۲-۳۱۶۶۰ و CVE-۲۰۲۲-۳۱۶۶۱: این دو آسیب‌پذیری با شدت بالا (۷.۸ از ۱۰)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارند، نقص‌های ارتقاء سطح دسترسی هستند که به مهاجم با دسترسی محلی اجازه می‌دهند سطح دسترسی خود را به ‘root’ ارتقا دهد.

CVE-۲۰۲۲-۳۱۶۶۴: این آسیب‌پذیری با شدت بالا (۷.۸ از ۱۰)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص ارتقاء سطح دسترسی است که به مهاجم با دسترسی محلی اجازه می‌دهد سطح دسترسی خود را به ‘root’ ارتقا دهد.

CVE-۲۰۲۲-۳۱۶۶۵: این آسیب‌پذیری با شدت بالا (۷.۶ از ۱۰)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص اجرای کد از راه دورِ تزریق JDBC است که به مهاجم با دسترسی ادمین در شبکه اجازه می‌دهد کد دلخواه خود را از راه دور اجرا کند.

CVE-۲۰۲۲-۳۱۶۵۷: این آسیب‌پذیری با شدت متوسط (۵.۹ از ۱۰)، که در محصولات VMware Workspace ONE Access و Identity Manager شرکت VMware وجود دارد، یک نقص تزریق URL است که به مهاجم با دسترسیِ شبکه اجازه می‌دهد یک کاربر احراز هویت شده را به دامنه‌ی دلخواه هدایت کند.

CVE-۲۰۲۲-۳۱۶۶۲: این آسیب‌پذیری با شدت متوسط (۵.۳ از ۱۰)، که در محصولات VMware Workspace ONE Access، Identity Manager، Connectors و vRealize Automation شرکت VMware وجود دارد، یک نقص path traversal است که به یک مهاجم با دسترسیِ شبکه اجازه می‌دهد به فایل‌های دلخواه دسترسی پیدا کند.

CVE-۲۰۲۲-۳۱۶۶۳: این آسیب‌پذیری با شدت متوسط (۴.۷ از ۱۰)، که در محصولات VMware Workspace ONE Access، Identity Manager و vRealize Automation شرکت VMware وجود دارد، یک نقص reflected cross-site scripting (XSS) است که به دلیل پاک‌سازی نامناسب ورودی‌های کاربر ایجاد می‌شود و به مهاجم اجازه می‌دهد با برخی از تعاملات کاربر بتواند کد جاوااسکریپت را در پنجره‌یِ کاربرِ موردِ هدف تزریق کند.

این آسیب‌پذیری‌ها محصولات زیر را تحت تأثیر قرار می‌دهند:
• VMware Workspace ONE Access (Access)
• VMware Workspace ONE Access Connector (Access Connector)
• VMware Identity Manager (vIDM)
• VMware Identity Manager Connector (vIDM Connector)
• VMware vRealize Automation (vRA)
• VMware Cloud Foundation
• vRealize Suite Lifecycle Manager

راهنمای به‌روزرسانی و وصله‌های منتشر شده در لینک زیر آورده شده است:
https://www.vmware.com/security/advisories/VMSA-۲۰۲۲-۰۰۲۱.html
مرجع : مرکز ماهر