聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

VMware 提醒客户立即修复位于多款产品中的严重漏洞，它们可被用于发动远程代码执行攻击。

本周三，VMware 提醒称，“应该按照 VMSA-2021-0011 中提到的指令立即修复或缓解该严重漏洞。该漏洞可造成严重后果。所有环境都是不同的，具有不同的风险容忍度，具有不同的风险缓解安全控制和纵深防御，因此客户必须自行决定如何处理。然而，鉴于该漏洞的严重程序，我们强烈建议立即行动。”

修复五个严重漏洞

VMware 修复的五个严重漏洞包括一个服务器端模板注入远程代码执行漏洞 (CVE-2022-22954)、两个 OAuth2 ACS认证绕过漏洞（CVE-2022-22955和CVE-2022-22956）和两个JDBC 注入远程代码执行漏洞（CVE-2022-22957和CVE-2022-22958）。

VMware 还修复了可导致跨站请求伪造的多个高中危漏洞（CVE-2022-22959）、提权漏洞（CVE-2022-22960）和未经授权的信息访问漏洞（CVE-2022-22961）。

受这些漏洞影响的VMware 产品包括：

• VMware Workspace ONE Access (Access)

• VMware Identity Manager (vIDM)

• VMware vRealize Automation (vRA)

• VMware Cloud Foundation

• vRealize Suite Lifecycle Manager

VMware 公司表示尚未发现这些漏洞遭在野利用的证据。VMware 知识库网站也提供了已修复版本的完整清单以及热修复安装器的下载链接。

应变措施

VMware 公司还为无法立即打补丁的厂商提供了应变措施作为临时解决方案。具体操作要求管理员在受影响的虚拟设备上运行由VMware 提供的基于Python 的脚本。

然而，该公司表示完全消除这些漏洞的唯一方法就是应用补丁，“应变措施虽然方便，但无法消除漏洞，还可能引入打补丁不会产生的其它复杂问题。虽然打补丁还是应用应变措施是你的决策，但VMware 一直强烈建议打补丁，它是解决这个问题最简单也最可靠的方法。”

本周一，VMware还发布安全更新，修复了适用于虚拟机的 VMware Tanzu Application Service、VMware Tanzu Operations Manager 以及 VMware Tanzu Kubernetes Grid Integrated Edition (TKGI) 中的Spring4Shell RCE 缺陷。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

VMware 修复多款产品中的高危漏洞

VMWare 认证软件存在SSRF漏洞，可用于访问用户数据

CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞

VMware 修复 Workstation、Fusion 和 ESXi中的多个漏洞

VMware：警惕 vSphere Web Client中的新漏洞

原文链接

https://www.bleepingcomputer.com/news/security/vmware-warns-of-critical-vulnerabilities-in-multiple-products/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~