阿里云漏洞库
高危漏洞
CVE 漏洞库
非CVE漏洞库
安全社区
漏洞情报
搜索
安全社区
应用程序
CVE-2022-22972
高危
VMware Workspace ONE Access 认证漏洞(CVE-2022-22972)
CVE编号
CVE-2022-22972
利用情况
EXP 已公开
补丁情况
官方补丁
披露时间
2022-05-18
该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
漏洞描述
VMware Cloud Foundation等都是美国威睿(VMware)公司的产品。VMware Cloud Foundation是一套一体化混合云平台。VMware vRealize Automation是一个提供自助式云服务、监管式多云自动化的管理工具。VMware Identity Manager是一个 Workspace One 的身份和访问管理组件。
VMware 多款产品存在授权问题漏洞,该漏洞源于处理身份验证请求时 UI 中的错误。远程攻击者利用该漏洞可以绕过身份验证过程并获得对应用程序的管理访问权限。
解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.vmware.com/security/advisories/VMSA-2022-0014.html
参考链接
https://www.cybersecurity-help.cz/vdb/SB2022051838
https://www.vmware.com/security/advisories/VMSA-2022-0014.html
受影响软件情况
#
类型
厂商
产品
版本
影响面
1
运行在以下环境
应用
linux
linux_kernel
-
-
运行在以下环境
应用
vmware
cloud_foundation
3.0
-
运行在以下环境
应用
vmware
cloud_foundation
3.0.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.0.1.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.10
-
运行在以下环境
应用
vmware
cloud_foundation
3.10.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.10.1.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.10.1.2
-
运行在以下环境
应用
vmware
cloud_foundation
3.10.2.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.10.2.2
-
运行在以下环境
应用
vmware
cloud_foundation
3.11
-
运行在以下环境
应用
vmware
cloud_foundation
3.11.0.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.5
-
运行在以下环境
应用
vmware
cloud_foundation
3.5.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.7
-
运行在以下环境
应用
vmware
cloud_foundation
3.7.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.7.2
-
运行在以下环境
应用
vmware
cloud_foundation
3.8
-
运行在以下环境
应用
vmware
cloud_foundation
3.8.1
-
运行在以下环境
应用
vmware
cloud_foundation
3.9
-
运行在以下环境
应用
vmware
cloud_foundation
3.9.1
-
运行在以下环境
应用
vmware
cloud_foundation
4.0
-
运行在以下环境
应用
vmware
cloud_foundation
4.0.1
-
运行在以下环境
应用
vmware
cloud_foundation
4.1
-
运行在以下环境
应用
vmware
cloud_foundation
4.1.0.1
-
运行在以下环境
应用
vmware
cloud_foundation
4.2
-
运行在以下环境
应用
vmware
cloud_foundation
4.2.1
-
运行在以下环境
应用
vmware
cloud_foundation
4.3
-
运行在以下环境
应用
vmware
cloud_foundation
4.3.1
-
运行在以下环境
应用
vmware
identity_manager
3.3.3
-
运行在以下环境
应用
vmware
identity_manager
3.3.4
-
运行在以下环境
应用
vmware
identity_manager
3.3.5
-
运行在以下环境
应用
vmware
identity_manager
3.3.6
-
运行在以下环境
应用
vmware
vrealize_automation
7.6
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.0
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.0.1
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.1
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.2
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.3
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.4
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.4.1
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.6
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.6.1
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.6.2
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.7
-
运行在以下环境
应用
vmware
vrealize_suite_lifecycle_manager
8.8
-
运行在以下环境
应用
vmware
workspace_one_access
20.10.0.0
-
运行在以下环境
应用
vmware
workspace_one_access
20.10.0.1
-
运行在以下环境
应用
vmware
workspace_one_access
21.08.0.0
-
运行在以下环境
应用
vmware
workspace_one_access
21.08.0.1
-
阿里云评分
8.0
攻击路径
远程
攻击复杂度
容易
权限要求
无需权限
影响范围
全局影响
EXP成熟度
EXP 已公开
补丁情况
官方补丁
数据保密性
数据泄露
数据完整性
无影响
服务器危害
无影响
全网数量
N/A
CWE-ID
漏洞类型
CWE-287
认证机制不恰当
阿里云安全产品覆盖情况
云安全中心
WAF
云防火墙
Exp相关链接
×
https://github.com/horizon3ai/CVE-2022-22972