VMware, Workspace ONE Assist çözümünü etkileyen, bazıları kimlik doğrulamasını atlamak ve yükseltilmiş izinler almak için kullanılabilecek beş güvenlik açığını yamaladı.
Listenin başında CVE-2022-31685, CVE-2022-31686 ve CVE-2022-31687 olarak takip edilen üç kritik güvenlik açığı yer alıyor. Tüm eksiklikler CVSS güvenlik açığı puanlama sisteminde 9.8 olarak derecelendirilmiştir.
CVE-2022-31685, VMware Workspace ONE Assist’e ağ erişimi olan bir saldırgan tarafından, uygulamada kimlik doğrulaması yapmaya gerek kalmadan yönetim erişimi elde etmek için kötüye kullanılabilecek bir kimlik doğrulama atlama hatasıdır.
CVE-2022-31686, sanallaştırma hizmetleri sağlayıcısı tarafından “bozuk kimlik doğrulama yöntemi” güvenlik açığı ve CVE-2022-31687 “Bozuk Erişim Denetimi” kusuru olarak tanımlanmıştır.
VMware, CVE-2022-31686 ve CVE-2022-31687 için bir danışma belgesinde, “Ağ erişimine sahip kötü niyetli bir aktör, uygulamada kimlik doğrulaması yapmaya gerek kalmadan yönetim erişimi elde edebilir,” dedi.
Başka bir güvenlik açığı, hedef kullanıcının penceresine rastgele JavaScript kodu eklemek için kullanılabilecek yanlış kullanıcı girişi temizlemesinden kaynaklanan yansıyan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı (CVE-2022-31688, CVSS puanı: 6.4) durumudur. .
Yamanın yuvarlanması, VMware’in oturum belirteçlerinin yanlış işlenmesinin bir sonucu olduğunu söylediği bir oturum sabitleme güvenlik açığıdır (CVE-2022-31689, CVSS puanı: 4.2). bu belirteci kullanan uygulamaya.”
Hollanda merkezli Reqon’dan güvenlik araştırmacıları Jasper Westerman, Jan van der Put, Yanick de Pater ve Harm Blankers, kusurları keşfetme ve bildirme konusunda itibar kazandılar.
Tüm sorunlar, VMware Workspace ONE Assist’in 21.x ve 22.x sürümlerini etkiler ve 22.10 sürümünde düzeltilmiştir. Şirket ayrıca, zayıf yönleri ele alan herhangi bir geçici çözüm olmadığını söyledi.