VMware đã vá năm lỗi bảo mật ảnh hưởng đến giải pháp Workspace ONE Assist của mình, một số lỗi có thể bị khai thác để vượt qua xác thực và có được các quyền nâng cao.
Đứng đầu danh sách, là ba lỗ hổng nghiêm trọng được theo dõi là CVE-2022-31685, CVE-2022-31686 và CVE-2022-31687. Tất cả những thiếu sót được đánh giá 9.8 trên hệ thống chấm điểm lỗ hổng CVSS.
CVE-2022-31685 là một lỗ hổng bỏ qua xác thực có thể bị lạm dụng bởi kẻ tấn công có quyền truy cập mạng vào VMware Workspace ONE Assist để có quyền truy cập quản trị mà không cần xác thực ứng dụng.
CVE-2022-31686 đã được nhà cung cấp dịch vụ ảo hóa mô tả là lỗ hổng "phương pháp xác thực bị hỏng" và CVE-2022-31687 là lỗ hổng "Kiểm soát truy cập bị hỏng".
"Một tác nhân độc hại có quyền truy cập mạng có thể có được quyền truy cập quản trị mà không cần xác thực ứng dụng," VMware cho biết trong một lời khuyên cho CVE-2022-31686 và CVE-2022-31687.
Một lỗ hổng khác là trường hợp lỗ hổng tập lệnh chéo trang (XSS) được phản ánh (CVE-2022-31688, điểm CVSS: 6.4) xuất phát từ việc vệ sinh đầu vào của người dùng không đúng cách, một cái gì đó có thể được khai thác để đưa mã JavaScript tùy ý vào cửa sổ của người dùng mục tiêu.
Làm tròn bản vá là một lỗ hổng cố định phiên (CVE-2022-31689, điểm CVSS: 4.2) mà VMware cho biết là kết quả của việc xử lý mã thông báo phiên không đúng cách, thêm vào đó "một tác nhân độc hại có được mã thông báo phiên hợp lệ có thể xác thực với ứng dụng bằng cách sử dụng mã thông báo đó."
Các nhà nghiên cứu bảo mật Jasper Westerman, Jan van der Put, Yanick de Pater và Harm Blankers của Reqon có trụ sở tại Hà Lan đã được ghi nhận là người đã phát hiện và báo cáo những sai sót.
Tất cả các vấn đề ảnh hưởng đến phiên bản 21.x và 22.x của VMware Workspace ONE Assist và đã được khắc phục trong phiên bản 22.10. Công ty cũng cho biết không có cách giải quyết nào giải quyết các điểm yếu.