现在必须修补这些关键的VMware安全漏洞

VMware发布了一个针对影响其许多产品的高严重性缺陷的补丁，鉴于其具有的破坏力，敦促用户修补他们的端点(在新标签中打开)立即地。

该公司最近发布了一份安全公告，称它修复了总共十个漏洞，包括CVE-2022-31656，这是一个严重性评分为9.8的漏洞。该公司解释说，这个缺陷存在于VMware的WorkspaceONEAccess、IdentityManager和vRealizeAutomation中。

在描述该漏洞时，VMware表示：“对UI具有网络访问权限的恶意行为者可能无需进行身份验证即可获得管理访问权限。”换句话说，攻击者可以利用该漏洞远程获取管理员权限。

VMware表示，目前没有证据表明该漏洞被广泛利用。尽管如此，它还是敦促其用户在应用补丁之前不要等到有人受伤：“在本地部署中迅速采取措施修补或缓解这些问题非常重要，”VMware说。“如果您的组织使用ITIL方法进行变更管理，这将被视为‘紧急’变更。”

我们可能没有一个实际的例子，但一个概念验证正在进行中。据TheRegister报道，最先发现该漏洞的研究员PetrusViet宣布他正在研究概念验证漏洞利用。

其他人也加入了这个问题，包括Tenable安全响应团队的高级研究工程师ClaireTills。对她来说，该漏洞还可以用来利用VMware最近披露的其他漏洞。“重要的是要注意，通过CVE-2022-31656实现的身份验证绕过将允许攻击者利用此版本中解决的经过身份验证的远程代码执行漏洞，”她说，指的是CVE-2022-31658和CVE-2022-31659，其严重性评分为8.0。

TheRegister还发现该漏洞类似于CVE-2022-22972，这也是VMware在5月修补的身份验证绕过漏洞(9.8)。这促使CISA要求美国政府机构停止使用VMware产品，直到问题得到解决。