VMware 在 12 月補丁星期二期間修補了三個漏洞

VMware 發佈了針對許多漏洞的補丁，包括虛擬機逃逸漏洞 CVE-2022-31705，該漏洞在 GeekPwn 2022 駭客挑戰賽期間被利用，作為本月補丁星期二的一部分。

VMWare 為此漏洞分配了 CVSS 嚴重等級 9.3/10，並警告在虛擬機上具有本地管理員許可權的惡意參與者可利用此漏洞執行代碼，作為主機上運行的虛擬機 VMX 進程。

螞蟻安全研究員蔣宇浩在運行完全修補的 VMware Fusion、ESXi 和工作站產品的系統上利用了虛擬機逃逸漏洞（記錄為 CVE-2022-31705）。

“在ESXi上，漏洞包含在VMX沙箱中，而在工作站和Fusion上，這可能會導致在安裝了工作站或Fusion的機器上執行代碼，”VMware說。

同時，CVSS 評分為 7.2 的關鍵安全更新解決了 VMware Workspace ONE Access 和 Identity Manager 中的兩個漏洞（CVE-2022-31700、CVE-2022-31701）。CVE-2022-31700 是一個經過身份驗證的 RCE 漏洞，CVSS 得分為 7.2，而 CVE-2022-31701 是一個嚴重等級為 5.3 的已損壞身份驗證漏洞。

受漏洞影響的產品包括：
ESXi 8.0（在 ESXi 8.0a-20842819 中修復）（在 ESXi 8.0a-20842819 中修復）
ESXi 7.0（在 7.0U3i-20842708 中修復）（在 7.0U3i-20842708 中修復）
Fusion 版本 12.x（在 12.2.5 中修復）
16.x 工作站（在 16.2.5 中修復）
4.x/3.x 雲基礎（在 KB90336 中已修復）

VMware 還解決了命令注入和目錄遍曆安全漏洞，這兩個漏洞均被跟蹤為 CVE-2022-31702 31702，這是 vRealize Network Insight 版本 6.2 至 6.7 的 vRNI REST API 中允許命令注入的嚴重嚴重性漏洞（CVSS v3：9.8）。以及 CVE-2022-31703，這是一個嚴重性較低的目錄遍歷缺陷 （CVSS v3： 7.5），允許威脅參與者從伺服器讀取任意檔。

這篇文章的來源包括 《安全事務》上的一篇文章。

總結

文章名稱

VMware 修補三個關鍵漏洞

描述

VMware 發佈了針對多個漏洞的補丁，包括虛擬機逃逸漏洞 CVE-2022-31705。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標