阿里云漏洞库

漏洞描述

Vmware Workspace One是美国威睿（Vmware）公司的一个用于跨设备快速交付、管理应用程序的平台。该平台包含VMware Horizo??n和VMware Horizo??n Cloud，将访问控制、应用程序管理和多平台端点管理集成到一个平台中，可高效管理多个设备。 VMware Workspace One 的 Access, Access Connector, Identity Manager, Identity Manager Connector address 模块存在命令注入漏洞，该漏洞源于外部输入数据构造可执行命令过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://www.vmware.com/security/advisories/VMSA-2020-0027.html

参考链接
https://www.vmware.com/security/advisories/VMSA-2020-0027.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	vmware	cloud_foundation	4.0	-
	运行在以下环境
	应用	vmware	cloud_foundation	4.0.1	-
	运行在以下环境
	应用	vmware	identity_manager	3.3.1	-
	运行在以下环境
	应用	vmware	identity_manager	3.3.2	-
	运行在以下环境
	应用	vmware	identity_manager	3.3.3	-
	运行在以下环境
	应用	vmware	identity_manager_connector	3.3.1	-
	运行在以下环境
	应用	vmware	identity_manager_connector	3.3.2	-
	运行在以下环境
	应用	vmware	identity_manager_connector	3.3.3	-
	运行在以下环境
	应用	vmware	one_access	20.01	-
	运行在以下环境
	应用	vmware	one_access	20.10	-
	运行在以下环境
	应用	vmware	vrealize_suite_lifecycle_manager	*	From (including) 8.0	Up to (including) 8.2

攻击路径

网络
攻击复杂度

低
权限要求

高
影响范围

已更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）

Vmware Workspace One命令注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况