烽火狼烟丨VMware Workspace ONE Access身份验证绕过、本地提权漏洞风险提示
1、漏洞概述
近日,WebRAY安全服务产品线监测到VMware官方发布安全公告,修复了两个存在于VMware Workspace ONE Access产品的漏洞。
VMware认证绕过漏洞(CVE-2022-22972):Workspace ONE Access、VMware Identity Manager(vIDM)和vRealize Automation受该漏洞影响,攻击者能够在无需认证的情况下以管理员权限访问服务。
VMware本地提权漏洞(CVE-2022-22973):VMware Workspace ONE Access 、Identity Manager受该漏洞影响,拥有普通访问权限的攻击者可利用该漏洞提升权限至管理员。
Workspace ONE Access是VMware公司开发的一款智能驱动型数字化工作空间平台,通过Workspace ONE Access能够随时随地在任意设备上轻松、安全地交付和管理任意应用。
WebRAY安全服务产品线也将持续关注该漏洞进展,并及时为您更新该漏洞信息。
2、影响范围
3、漏洞等级
WebRAY安全服务产品线风险评级:高危
4、修复建议
1. VMware厂商已发布新版本,请及时更新至更高版本。
下载地址:
https://kb.vmware.com/s/article/88438
https://kb.vmware.com/s/article/88433
2. 如果目前无法升级,在业务环境允许的前提下,使用白名单限制访问web的ip来降低风险。
烽火狼烟丨VMware Workspace ONE Access身份验证绕过、本地提权漏洞风险提示相关推荐
- 【漏洞复现】CVE-2022-22954 VMware Workspace ONE Access漏洞分析
文章目录 漏洞信息 漏洞分析 漏洞复现 测试脚本 漏洞修复 参考文章 漏洞信息 VMware Workspace ONE Access(以前称为VMware Identity Manager)旨在通过 ...
- 黑客利用数百万路由器的新身份验证绕过漏洞
身份不明的黑客正在积极利用关键的身份验证绕过漏洞劫持家庭路由器,将它们纳入用于执行 DDoS 攻击的 Mirai 变体僵尸网络,仅在其公开披露两天后. 该漏洞被跟踪为CVE-2021-20090(CV ...
- struts2漏洞监测_Apache Shiro身份验证绕过漏洞风险提示
漏洞公告 2020年8月17日,安恒应急响应中心监测发现Apache Shiro官方更新发布了1.6.0之前版本存在身份验证绕过的漏洞公告,对应CVE编号:CVE-2020-13933,相关链接: h ...
- Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令
Linux 用户请注意!根据外媒的报道,Linux sudo 被曝出存在一个提权漏洞,可完全绕过 sudo 的安全策略. 先简单说明一下情况,报道指出 sudo 存在一个安全策略隐患,即便" ...
- VMware 修复 Fusion 和 Horizon 中的两个提权漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 VMware 修复了两个漏洞,可导致攻击者在多种软件中提升权限或造成拒绝服务条件. 本周二,VMware 发布一份安全公告,说明了 C ...
- bartender的安全策略不允许指定的用户执行此操作_Linux sudo 被曝提权漏洞,任意用户均能以 root 身份运行命令
即便 /etc/sudoers 配置文件中明确表明不允许以 root 用户进行访问,但通过该漏洞,恶意用户或程序仍可在目标 Linux 系统上以 root 用户身份执行任意命令. 译自: https: ...
- 身份验证绕过漏洞分析
0x01 前言 最近Tenable 披露了Arcadyna 网络设备身份验证绕过漏洞,并且很多的厂商都采用产生漏洞的组件,由于Arcadyan 设备固件厂商并没有开源出来,在官网支持里面下载的文件是w ...
- 98.网络安全渗透测试—[常规漏洞挖掘与利用篇14]—[SESSION身份验证绕过漏洞与测试]
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一.session身份验证绕过漏洞与测试 1.session机制 2.session的生命周期 3.出现漏洞的情 ...
- Zyxel-NBG2105(CVE-2021-3297)身份验证绕过漏洞复现
简介 Zyxel-NBG2105 存在身份验证绕过,可以通过更改 login参数可用实现以管理员身份进行后台登陆. zoomeye 漏洞验证 通过右键源代码查看一下源码,这里不知道为什么不能右键,就在 ...
最新文章
- webservice 暴漏接口_webService接口是什么?
- HTC打算一条道走到黑,开始资助「脑后插管操作」
- PyTorch机器学习从入门到实践-CH1
- php 数组压入,PHP 2、array_push和[]
- leetcode674. 最长连续递增序列
- android如何适配平板,适用于平板电脑、大屏设备和可折叠设备的自适应布局
- Markdown简介
- [心得] 如何利用liquibase進行資料庫版本控制 - 實際練習
- 优秀架构师是怎么炼成的?
- 防止SQL注入的五种方法
- minitab学习系列(1)--二项式分布过程能力分析
- C语言共用体和枚举的使用
- 通过piranha搭建lvs高可用集群
- 数据类型,栈内存、堆内存
- 第二章 GD MCU程序下载
- Datawhale组队学习 Task05:字符串(2天)
- ROS启动失败的一个ip错误坑
- Button控件的使用方法
- 【排序】折半插入排序
- 内容提交的时一个图片,但是前端显示的时<img src=“地址“>而不是图片