组件介绍

VMware（威睿） 是一家提供全球桌面到数据中心虚拟化解决方案的厂商。

VMware Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台，通过 Workspace ONE Access 能够随时随地在任意设备上轻松、安全地交付和管理任意应用。VMware vRealize Automation是自动化部署方案云管平台。VMware Cloud Foundation是VMware公司混合云平台。vRealize Suite Lifecycle Manager是vRealize Suite生命周期和内容管理平台。

漏洞描述

近日，深信服安全团队监测到一则VMware组件存在身份认证绕过漏洞的信息，漏洞编号：CVE-2022-22972，漏洞威胁等级：严重。

该漏洞是由于HostHeaderFilter过滤不严格，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行身份认证绕过攻击，最终以任意用户登录系统。

影响范围

目前受影响的VMWare版本：

VMWare Workspace One Access：

21.08.0.1, 21.08.0.0，20.10.0.1, 20.10.0.0

VMWare Identity Manager：

3.3.6, 3.3.5, 3.3.4, 3.3.3

VMWare vRealize Automation：

7.6

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。