Le fournisseur de logiciels de virtualisation VMware a publié des correctifs corrigeant les vulnérabilités critiques de la sécurité Web dans plusieurs de ses produits.

Les mises à jour, publiées aujourd’hui (7 avril), incluent des correctifs pour une faille d’exécution de code à distance (RCE) dans VMware Workspace ONE Access, anciennement connu sous le nom d’Identity Manager.

La vulnérabilité – identifiée comme CVE-2022-22954 et avec une cote CVSS de 9,8 – résulte d’un problème d’injection de modèle côté serveur.

« Un acteur malveillant ayant accès au réseau peut déclencher une injection de modèle côté serveur pouvant entraîner l’exécution de code à distance », prévient VMware dans un communiqué. bulletin de sécurité.

Sur la liste critique figurent également deux vulnérabilités de contournement d’authentification dans le framework OAuth2 ACS, qui est lié à VMware Workspace ONE Access.

Ces failles – suivies comme CVE-2022-22955 et CVE-2022-22956 et toutes deux avec une note CVSS de 9,8 – contournent chacune un mécanisme d’authentification et « exécutent toute opération due à des points de terminaison exposés dans le cadre d’authentification », avertit VMware.

Autres correctifs

Un autre ensemble de mises à jour dans la mise à jour par lots résout deux problèmes critiques de désérialisation des données non approuvées impliquant VMware Workspace ONE Access et vRealize Automation.

Les failles – suivies comme CVE-2022-22957 et CVE-2022-22958 et avec un indice de gravité de 9,1 – signifiaient qu’un attaquant avec « un accès administrateur peut déclencher la désérialisation de données non fiables via un URI JDBC malveillant, ce qui peut entraîner l’exécution de code à distance ». .

Les cinq failles ont été découvertes par Steven Seeley de l’équipe de recherche sur les vulnérabilités Qihoo 360. La gorgée quotidienne les a invités à commenter leurs conclusions, ainsi que la prévalence des vulnérabilités.

Le même lot de correctifs VMware pour VMware Workspace ONE Access et vRealize Automation s’attaque également à plusieurs failles moins graves, notamment une vulnérabilité de falsification de requête intersite (CSRF), une faille de sécurité d’élévation des privilèges et un risque de divulgation d’informations.

La dernière version arrive à un moment où le monde de l’infosec dans son ensemble continue d’être à l’affût de l’exploitation de Spring4Shell, une vulnérabilité critique dans le Spring Framework open source de VMWare.