阿里云漏洞库

该漏洞EXP已公开传播，漏洞利用成本极低，建议您立即关注并修复。

漏洞描述

VMware vRealize Automation等都是美国威睿（VMware）公司的产品。VMware vRealize Automation是一个提供自助式云服务、监管式多云自动化的管理工具。VMware Workspace One Access是一个集中式管理控制台，通过该控制台，可以管理用户和组、设置和管理身份验证和访问策略，以及将资源添加到目录并管理这些资源的授权。VMware Identity Manager是一个 Workspace One 的身份和访问管理组件。

Workspace ONE Access 提供统一应用门户,通过门户可安全访问企业的所有应用，可用于单点登录。CVE-2022-31656 中攻击者可构造恶意路径绕过相关权限验证，从而登录后台，并配合 CVE-2022–31659 可造成远程命令执行。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.vmware.com/security/advisories/VMSA-2022-0021.html

参考链接
https://www.vmware.com/security/advisories/VMSA-2022-0021.html

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	vmware	access_connector	21.08.0.0	-
	运行在以下环境
	应用	vmware	access_connector	21.08.0.1	-
	运行在以下环境
	应用	vmware	access_connector	22.05	-
	运行在以下环境
	应用	vmware	identity_manager	3.3.4	-
	运行在以下环境
	应用	vmware	identity_manager	3.3.5	-
	运行在以下环境
	应用	vmware	identity_manager	3.3.6	-
	运行在以下环境
	应用	vmware	identity_manager_connector	19.03.0.1	-
	运行在以下环境
	应用	vmware	identity_manager_connector	3.3.4	-
	运行在以下环境
	应用	vmware	identity_manager_connector	3.3.5	-
	运行在以下环境
	应用	vmware	identity_manager_connector	3.3.6	-
	运行在以下环境
	应用	vmware	one_access	21.08.0.0	-
	运行在以下环境
	应用	vmware	one_access	21.08.0.1	-

攻击路径

本地
攻击复杂度

容易
权限要求

无需权限
影响范围

全局影响
EXP成熟度

EXP 已公开
补丁情况

官方补丁
数据保密性

数据泄露
数据完整性

无影响
服务器危害

服务器失陷
全网数量

N/A

CWE-ID	漏洞类型
CWE-287	认证机制不恰当
NVD-CWE-noinfo

高危 VMware Workspace ONE Access 认证漏洞（CVE-2022-31656）

漏洞描述

解决建议

参考链接

受影响软件情况