VMware VMware已針對多個產品釋出了安全更新，以解決一個可被利用來訪問機密資訊的嚴重漏洞。

跟蹤為CVE-2021-22002（CVSS 評分：8.6）和CVE-2021-22003（CVSS 評分：3.7），這些缺陷影響 VMware Workspace One Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA) 、VMware Cloud Foundation 和 vRealize Suite Lifecycle Manager。

CVE-2021-22002 涉及 VMware Workspace One Access 和 Identity Manager 如何通過篡改主機標頭來允許通過埠 443 訪問“/cfg”Web 應用程式和診斷端點的問題，從而導致伺服器端請求。

該公司在其公告中表示： “具有對埠 443 的網路訪問許可權的惡意行為者可能會篡改主機標頭以促進對 /cfg Web 應用程式的訪問，此外，黑客還可以在未經身份驗證的情況下訪問 /cfg 診斷端點。”

知名網路安全專家、東方聯盟創始人郭盛華透露，VMware 還解決了一個資訊洩露漏洞，該漏洞通過埠 7443 上無意暴露的登入介面影響 VMware Workspace One Access 和 Identity Manager。具有對埠 7443 的網路訪問許可權的攻擊者可能會發起暴力攻擊，該公司指出：“根據目標賬戶的鎖定策略配置和密碼複雜性，可能實用，也可能不實用。”

對於無法升級到最新版本的客戶，VMware為 CVE-2021-22002提供了一個解決方法指令碼，該指令碼可以獨立部署而無需使 vRA 裝置離線。“該解決方法禁用瞭解析 vIDM 配置頁面的能力。該端點未在 vRA 7.6 環境中使用，不會對功能造成任何影響，”該公司表示。（歡迎轉載分享）