VMware lost een kritieke fout in Workspace ONE Access, Identity Manager en vRealize Automation op. Negen kleinere bugs worden tegelijk uit de producten gehaald.
Door een bug in Workspace ONE Access, Identity Manager en vRealize Automation was het eenvoudig om administratorrechten te verwerven. “Een kwaadwillige met netwerktoegang tot de gebruikersinterface zou administratorrechten kunnen verwerven zonder zichzelf te authenticeren.”
De bug krijgt het label CVE-2022-31656 en hangt vast aan een CVSS-score van 9,8 op tien. Uitbuitingen in het wild zijn voorlopig nog niet opgedoken. Het bedrijf waarschuwt dat deze situatie echter snel kan veranderen, wat het belangrijk maakt om vandaag nog te updaten. “Als uw organisatie ITIL-methodologieën gebruikt voor wijzigingsbeheer, wordt dit beschouwd als een ‘nood’-wijziging”, vindt VMware.
lees ook
EU gaat overname VMware door Broadcom onderzoeken
Grote gevolgen mogelijk
In combinatie met twee andere beveiligingsfouten in de producten van VMware kan de bug grote gevolgen hebben. Het gaat om CVE-2022-31658 en CVE-2022-31659, waarmee een aanvaller met administratorrechten vanop afstand toestellen kan aanzetten om kwaadaardige code uit te voeren. Beide bugs krijgen een CVSS-score van acht op tien.