Los investigadores Steven Seeley (mr_me), del Qihoo 360 Vulnerability Research Institute, y Jack Luketina han reportado 10 vulnerabilidades: 5 de severidad crítica, 4 altas y 1 moderada. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código remoto, omitir la autenticación, CSRF (Cross-Site Request Forgery), escalar privilegios locales y divulgar información.
Las vulnerabilidades críticas se describen a continuación: por un lado, un atacante con acceso a la red podría realizar una inyección en la plantilla del lado del servidor (server-side template injection), lo que podría dar lugar a la ejecución remota de código (RCE). Se ha asignado el identificador CVE-2022-22954 para esta vulnerabilidad. Por otro lado, un atacante podría eludir el mecanismo de autenticación y ejecutar cualquier operación, gracias a los endpoints expuestos en el framework de autenticación OAuth2 ACS. Se han asignado los identificadores CVE-2022-22955 y CVE-2022-22956 para estas vulnerabilidades. Y por último, un atacante con acceso administrativo podría provocar la deserialización de datos no confiables a través de una URI JDBC maliciosa, lo que podría resultar en la ejecución remota de código. Se han asignado los identificadores CVE-2022-22957 y CVE-2022-22958 para estas vulnerabilidades. Para el resto de vulnerabilidades altas y medias se han asignado los identificadores CVE-2022-22959, CVE-2022-22960, CVE-2022-22961, CVE-2022-22962 y CVE-2022-22964.
Recursos afectados:
- VMware Workspace ONE Access (Access), versiones:
- 21.08.0.1;
- 21.08.0.0;
- 20.10.0.1;
- 20.10.0.0.
- VMware Identity Manager (vIDM), versiones:
- 3.3.6;
- 3.3.5;
- 3.3.4;
- 3.3.3.
- VMware vRealize Automation (vRA), versión 7.6.
- VMware Cloud Foundation, versiones;
- 4.x;
- 3.x.
- vRealize Suite Lifecycle Manager, versiones 8.x.
- Horizon Client para Linux, versiones 21.x.
