近日，我司监测到VMware发布安全公告，修复了4个存在于Workspace ONE Assist中的安全漏洞。

Workspace ONE是 VMware 公司开发的一款智能驱动型数字化工作空间平台，通过 Workspace ONE能够随时随地在任意设备上轻松、安全地交付和管理任意应用。VMware Workspace ONE Assist 是是Workspace ONE 的辅助客户端。

详情如下：

1.CVE-2022-31685,CVE-2022-31686 VMware Workspace ONE Assist身份认证绕过漏洞

风险等级：严重

漏洞类型：身份认证缺陷

漏洞简介：对 Workspace ONE Assist具有网络访问权限的攻击者无需对应用程序进行身份验证即可获得管理访问权限。

2.CVE-2022-31687 VMware Workspace ONE Assist访问控制不当漏洞

风险等级：严重

漏洞类型：权限失控(越权)

漏洞简介：对 Workspace ONE Assist具有网络访问权限的恶意行为者可能无需对应用程序进行身份验证即可获得管理访问权限。

3.CVE-2022-31688 VMware Workspace ONE Assist跨站脚本漏洞

风险等级：中危

漏洞类型：跨站脚本攻击(XSS)

漏洞简介：由于不正确的用户输入清理，具有某些用户交互的恶意行为者可能能够在目标用户的窗口中注入 javascript 代码。

影响版本：

• 21.0 <= VMware Workspace ONE Assist < 22.10

安全版本：

• VMware Workspace ONE Assist >= 22.10

修复建议：

官方已经针对漏洞发布了版本更新，参考地址如下：

https://kb.vmware.com/s/article/89993