近日，我司应急团队监测到VMware发布安全公告，修复了两个存在于VMware Workspace ONE Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA)、VMware Cloud Foundation、vRealize Suite Lifecycle Manager中的漏洞。

Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台，通过 Workspace ONE Access 能够随时随地在任意设备上轻松、安全地交付和管理任意应用。

漏洞描述

• CVE-2022-22972 VMware 身份验证绕过漏洞

漏洞类型：身份验证绕过

风险等级：严重

漏洞描述：该漏洞存在于VMware Workspace ONE Access、Identity Manager 和 vRealize Automation中，对 UI 具有网络访问权限的恶意攻击者可能无需进行身份验证即可获得管理访问权限。

• CVE-2022-22973 VMware权限提升漏洞

漏洞类型：权限提升

风险等级：高危

漏洞描述：该漏洞存在于VMware Workspace ONE Access 、Identity Manager中，具有本地访问权限的恶意行为者可以将权限提升到“root”。

影响版本

• VMware Cloud Foundation 4.3.x、4.2.x、4.1、4.0.x、3.x
• VMware Workspace One Access 21.08.0.1、21.08.0.0、20.10.0.1、20.10.0.0
• VMware Identity Manager 3.3.6、3.3.5、3.3.4、3.3.3
• VMware vRealize Automation 7.6
• vRealize Suite Lifecycle Manager 8.x

修复建议：

Vmware官方已经发布了解决上述漏洞的安全修复补丁程序，建议受影响参考官方通告的修复步骤进行修复，修复链接：https://www.vmware.com/security/advisories/VMSA-2022-0014.html