VMware 製品群に影響をおよぼす複数の脆弱性 CVE-2022-31656 などが FIX

VMware Releases Patches for Several New Flaws Affecting Multiple Products

2022/08/02 TheHackerNews — 火曜日に、仮想化サービス・プロバイダーである VMware は、複数の製品に影響をおよぼす 10件の脆弱性に対処するためのアップデートをリリースした。脆弱性 CVE-2022-31656〜CVE-2022-31665 (CVSS: 4.7〜9.8) で追跡される問題は、VMware Workspace ONE Access/Workspace ONE Access Connector/Identity Manager/Identity Manager Connector/vRealize Automation/Cloud Foundation/vRealize Suite Lifecycle Manager に影響を及ぼすものだ。

一連の欠陥のうちで、最も深刻なものは CVE-2022-31656 (CVSS : 9.8) である。ローカル・ドメインのユーザーに影響を与える認証バイパスの脆弱性であり、ネットワーク・アクセスを持つ、悪意の行為者が管理権限を得るために悪用する可能性がある。

また、JDBC および SQL インジェクションに関するリモートコード実行の脆弱性3件 (CVE-2022-31658/CVE-2022-31659/CVE-2022-31665) も、ネットワーク・アクセス権を持つ敵対者により、武器として使用される可能性がある。


また、クロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2022-31663 も修正され、不適切なユーザー・サニタイズの結果として、悪意の JavaScript コードを起動される欠陥が解消した。

今回のパッチでは、ローカル・アクセス権を持つユーザーが、root に昇格するローカル権限昇格のバグ (CVE-2022-31660/CVE-2022-31661/CVE-2022-31664) 、URLインジェクションのバグ (CVE-2022-31657)、パストラバーサルのバグ (CVE-2022-31662) などが修正された。

CVE-2022-31657 の悪用に成功した攻撃者は、認証済みユーザーを任意のドメインにリダイレクトすることが可能になる。また、CVE-2022-31662 の場合は、不正な方法でのファイルの読み取りが可能になる。

VMware は、これらの脆弱性の悪用について認識していないが、脆弱性のある製品を使用している顧客に対して、潜在的な脅威を軽減するために、直ちにパッチを適用するよう推奨している。

エンタープライズにおいて、とても重要な役割を担う VMware なので、とても気になりますね。最近の、VMware の脆弱性関連トピックとしては、5月18日の「VMware 製品群の2つの深刻な脆弱性が FIX:認証バイパスで root 取得を許してしまう」、5月24日の「VMware の認証バイパスの脆弱性 CVE-2022-22972:PoC エクスプロイトの前にパッチ適用を」、6月12日の「VMware vCenter Server の脆弱性 CVE-2021-22048:公開から8ヶ月で FIX」などがあります。よろしければ、ご確認ください。

%d bloggers like this: