VMware ha parcheado cinco fallas de seguridad que afectan a su Asistencia de Workspace ONE solución, algunas de las cuales podrían explotarse para eludir la autenticación y obtener permisos elevados.
Encabezando la lista, se encuentran tres vulnerabilidades críticas rastreadas como CVE-2022-31685, CVE-2022-31686 y CVE-2022-31687. Todas las deficiencias tienen una calificación de 9.8 en el sistema de calificación de vulnerabilidad CVSS.
CVE-2022-31685 es una falla de omisión de autenticación que podría ser aprovechada por un atacante con acceso de red a VMware Workspace ONE Assist para obtener acceso administrativo sin necesidad de autenticarse en la aplicación.
CVE-2022-31686 ha sido descrito por el proveedor de servicios de virtualización como una vulnerabilidad de «método de autenticación roto» y CVE-2022-31687 como una falla de «Control de acceso roto».
«Un actor malintencionado con acceso a la red puede obtener acceso administrativo sin necesidad de autenticarse en la aplicación», VMware dijo en un aviso para CVE-2022-31686 y CVE-2022-31687.
Otra vulnerabilidad es un caso de secuencias de comandos entre sitios reflejadas (XSS) (CVE-2022-31688, puntuación CVSS: 6.4) derivada de la sanitización incorrecta de la entrada del usuario, algo que podría explotarse para inyectar código JavaScript arbitrario en la ventana del usuario de destino.
Redondeando el parche hay un vulnerabilidad de fijación de sesión (CVE-2022-31689, puntaje CVSS: 4.2) que VMware dijo que es el resultado de un manejo inadecuado de los tokens de sesión, y agregó que «un actor malicioso que obtiene un token de sesión válido puede autenticarse en la aplicación usando ese token».
A los investigadores de seguridad Jasper Westerman, Jan van der Put, Yanick de Pater y Harm Blankers de Reqon, con sede en los Países Bajos, se les atribuye el descubrimiento y la notificación de las fallas.
Todos los problemas afectan a las versiones 21.x y 22.x de VMware Workspace ONE Assist y se solucionaron en versión 22.10. La compañía también dijo que no hay soluciones alternativas que aborden las debilidades.