针对影响多个产品的新漏洞，VMware 发布安全补丁

Hackernews 编译，转载请注明出处：

虚拟化服务提供商VMware周二发布了更新，以解决影响多个产品的10个安全漏洞，这些漏洞可能被未经身份验证的攻击者滥用以执行恶意操作。

从CVE-2022-31656到CVE-202-31665（CVSS评分：4.7-9.8）跟踪的漏洞会影响VMware Workspace ONE Access、Workspace ONE Access Connector、Identity Manager、Identity Manager Connector、vRealize Automation、Cloud Foundation和vRealize Suite Lifecycle Manager。

其中最严重的漏洞是CVE-2022-31656 (CVSS评分：9.8)，这是一个影响本地域用户的身份验证绕过漏洞，具有网络访问权限的黑客可以利用该漏洞来获得管理访问权限。

VMware还解决了与JDBC和SQL注入相关的三个远程代码执行漏洞（CVE-2022-31658、CVE-022-31659和CVE-202-31665），这些漏洞可能被具有管理员和网络访问权限的对手武器化。

在其他地方，它还修复了一个反映的跨站点脚本（XSS）漏洞（CVE-2022-31663），该漏洞是用户清理不当的结果，可能会导致恶意JavaScript代码的激活。

其他补丁包括三个本地权限升级漏洞(CVE-2022-31660、CVE-2022-31661和CVE-2022-31664)，它们允许具有本地访问权限的参与者将权限升级为“root”，URL注入漏洞(CVE-2022-31657)和路径遍历漏洞(CVE-2022-31662)。

虽然成功利用CVE-2022-31657可以将经过身份验证的用户重定向到任意域，但CVE-202-31662可能会让攻击者以未经授权的方式读取文件。

VMware表示，它不知道有人在野外利用这些漏洞，但敦促使用易受攻击产品的客户立即应用补丁以缓解潜在威胁。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文