Admin VMware diminta untuk menambal delapan kerentanan – Keamanan
Technology

Admin VMware diminta untuk menambal delapan kerentanan – Keamanan

VMware telah menambal delapan bug di lima produknya yang ditemukan oleh peneliti keamanan Qihoo 360 Steven Seeley.

Sebuah nasihat mencatat bahwa delapan kerentanan memengaruhi lima produk berbeda: Workspace ONE Access, Identity Manager, vRealize Automation, Cloud Foundation, dan vRealize Suite Lifecycle Manager.

Workspace ONE Access dipengaruhi oleh dua kerentanan bypass otentikasi kritis, yang dilambangkan sebagai CVE-2022-22955 dan CVE-2022-22956.

Mereka akan memungkinkan penyerang untuk “melewati mekanisme otentikasi dan menjalankan operasi apa pun karena titik akhir yang terbuka dalam kerangka otentikasi”, kata penasihat itu.

Workspace ONE Access juga dipengaruhi oleh kerentanan eksekusi kode jarak jauh yang kritis, CVE-2022-22954.

Kerentanan muncul karena injeksi template sisi server, kata penasihat tersebut.

Jika penyerang jahat memicu injeksi template, mereka bisa mendapatkan eksekusi kode jarak jauh.

Pasangan kerentanan eksekusi kode jarak jauh berikutnya, CVE-2022-22957 dan CVE-2022-22958, memengaruhi beberapa produk: VMware Workspace ONE Access, Identity Manager, dan vRealize Automation.

“Aktor jahat dengan akses administratif dapat memicu deserialisasi data yang tidak tepercaya melalui URI JDBC (konektivitas basis data Java) berbahaya yang dapat mengakibatkan eksekusi kode jarak jauh,” demikian pernyataan tersebut.

Tiga produk yang sama juga mengalami bug pemalsuan permintaan lintas situs yang tidak terlalu parah, CVE-2022-22959, di mana pengguna dapat ditipu untuk memvalidasi URI JDBC berbahaya.

Dua bug terakhir yang tidak terlalu parah adalah CVE-2022-22960, bug eskalasi hak istimewa lokal; dan CVE-2022-22961, kerentanan pengungkapan informasi.

Tambalan dan solusi tersedia untuk semua bug.

Posted By : pengeluaran hk hari ini 2021