VMware, yazılımını etkileyen beş güvenlik açığını yamaladı. Workspace ONE Assist bazıları kimlik doğrulamasını atlamak ve yükseltilmiş izinler almak için kullanılabilir.
Listenin başında CVE-2022-31685, CVE-2022-31686 ve CVE-2022-31687 olarak takip edilen üç kritik güvenlik açığı yer alıyor. Tüm eksiklikler CVSS güvenlik açığı puanlama sisteminde 9.8 olarak derecelendirilmiştir.
CVE-2022-31685, VMware Workspace ONE Assist’e ağ erişimi olan bir saldırgan tarafından, uygulamada kimlik doğrulaması yapmaya gerek kalmadan yönetim erişimi elde etmek için kötüye kullanılabilecek bir kimlik doğrulama atlama hatasıdır.
CVE-2022-31686, sanallaştırma hizmetleri sağlayıcısı tarafından “bozuk kimlik doğrulama yöntemi” güvenlik açığı ve CVE-2022-31687 “Bozuk Erişim Denetimi” kusuru olarak tanımlanmıştır.
VMware, “Ağ erişimine sahip kötü niyetli bir aktör, uygulamada kimlik doğrulaması yapmaya gerek kalmadan yönetim erişimi elde edebilir,” söz konusu CVE-2022-31686 ve CVE-2022-31687 için bir danışma belgesinde.
Başka bir güvenlik açığı, yansıyan siteler arası komut dosyası çalıştırma durumudur (XSS) güvenlik açığı (CVE-2022-31688, CVSS puanı: 6.4), hedef kullanıcının penceresine rastgele JavaScript kodu eklemek için kullanılabilecek uygunsuz kullanıcı girişi temizlemesinden kaynaklanır.
Yamanın yuvarlanması bir oturum sabitleme güvenlik açığı (CVE-2022-31689, CVSS puanı: 4.2), VMware’in, “geçerli bir oturum belirteci alan kötü niyetli bir aktör, bu belirteci kullanarak uygulamada kimlik doğrulaması yapabilir” diyerek, oturum belirteçlerinin uygunsuz kullanımının sonucu olduğunu söyledi.
Hollanda merkezli Reqon’dan güvenlik araştırmacıları Jasper Westerman, Jan van der Put, Yanick de Pater ve Harm Blankers, kusurları keşfetme ve bildirme konusunda itibar kazandılar.
Tüm sorunlar, VMware Workspace ONE Assist’in 21.x ve 22.x sürümlerini etkiler ve şurada düzeltilmiştir: sürüm 22.10. Şirket ayrıca, zayıf yönleri ele alan herhangi bir geçici çözüm olmadığını söyledi.