VMware a publié des mises à jour de sécurité pour corriger huit vulnérabilités dans ses produits, dont certaines pourraient être exploitées pour lancer des attaques par exécution de code à distance.

Ces problèmes affectent VMware Workspace ONE Access, VMware Identity Manager, VMware vRealize Automation, VMware Cloud Foundation, et vRealize Suite Lifecycle Manager.

Parmi ces failles nous trouvons :

· CVE-2022-22954 (score CVSS : 9.8) - Vulnérabilité d'exécution de code à distance par injection de template côté serveur affectant VMware Workspace ONE Access and Identity Manager.

· CVE-2022-22955 & CVE-2022-22956 (score CVSS : 9.8) - Vulnérabilités de contournement d'authentification OAuth2 ACS dans VMware Workspace ONE Access

· CVE-2022-22957 & CVE-2022-22958 (scores CVSS : 9.1) - Vulnérabilités d'exécution de code à distance par injection JDBC dans VMware Workspace ONE Access, Identity Manager et vRealize Automation.

· CVE-2022-22959 (score CVSS : 8.8) - Vulnérabilité de forgeage de requête intersite (CSRF) dans VMware Workspace ONE Access, Identity Manager et vRealize Automation.

· CVE-2022-22960 (score CVSS : 7,8) - Vulnérabilité d'élévation des privilèges locaux dans VMware Workspace ONE Access, Identity Manager et vRealize Automation, et

· CVE-2022-22961 (score CVSS : 5.3) - Vulnérabilité de divulgation d'informations ayant un impact sur VMware Workspace ONE Access, Identity Manager et vRealize Automation.

L'exploitation réussie des faiblesses susmentionnées pourrait permettre à un acteur malveillant d'élever ses privilèges jusqu'à l'utilisateur root, d'accéder aux noms d'hôte des systèmes cibles et d'exécuter du code arbitraire à distance, permettant ainsi une prise de contrôle totale.

Bien que le fournisseur de services de virtualisation ait noté qu'il n'a pas vu de preuves que les vulnérabilités ont été exploitées dans la nature, il est fortement recommandé d'appliquer les correctifs pour éliminer les menaces potentielles.

"Les solutions de contournement, bien que pratiques, ne suppriment pas les vulnérabilités et peuvent introduire des complexités supplémentaires que les correctifs ne permettraient pas", a averti la société.