VMware a corrigé cinq failles de sécurité affectant son Assistant Workspace ONE solution, dont certaines pourraient être exploitées pour contourner l’authentification et obtenir des autorisations élevées.
En tête de liste, trois vulnérabilités critiques suivies comme CVE-2022-31685, CVE-2022-31686 et CVE-2022-31687. Toutes les lacunes sont notées 9,8 sur le système de notation des vulnérabilités CVSS.
CVE-2022-31685 est une faille de contournement d’authentification qui pourrait être exploitée par un attaquant disposant d’un accès réseau à VMware Workspace ONE Assist pour obtenir un accès administratif sans avoir à s’authentifier auprès de l’application.
CVE-2022-31686 a été décrit par le fournisseur de services de virtualisation comme une vulnérabilité de « méthode d’authentification cassée », et CVE-2022-31687 comme une faille de « Broken Access Control ».
« Un acteur malveillant disposant d’un accès au réseau peut être en mesure d’obtenir un accès administratif sans avoir besoin de s’authentifier auprès de l’application », explique VMware. a dit dans un avis pour CVE-2022-31686 et CVE-2022-31687.
Une autre vulnérabilité est un cas de script intersite réfléchi (XSS) (CVE-2022-31688, score CVSS : 6,4) résultant d’un nettoyage incorrect des entrées utilisateur, quelque chose qui pourrait être exploité pour injecter du code JavaScript arbitraire dans la fenêtre de l’utilisateur cible.
Arrondir le patch est un vulnérabilité de fixation de session (CVE-2022-31689, score CVSS : 4,2) qui, selon VMware, est le résultat d’une mauvaise gestion des jetons de session, ajoutant « un acteur malveillant qui obtient un jeton de session valide peut être en mesure de s’authentifier auprès de l’application à l’aide de ce jeton ».
Les chercheurs en sécurité Jasper Westerman, Jan van der Put, Yanick de Pater et Harm Blankers de Reqon, basé aux Pays-Bas, ont été crédités d’avoir découvert et signalé les failles.
Tous les problèmes affectent les versions 21.x et 22.x de VMware Workspace ONE Assist et ont été corrigés dans version 22.10. La société a également déclaré qu’il n’y avait pas de solutions de contournement pour remédier aux faiblesses.