[対策あり]VMware製品に複数の深刻度Criticalの脆弱性
![[対策あり]VMware製品に複数の深刻度Criticalの脆弱性](https://a-zs.net/wordpress/wp-content/uploads/3022/04/vmware_critical_vulnerability-eye.jpg)
2022年4月6日(現地時間)VMwareは「VMware Workspace ONE Access」「VMware Identity Manager」に深刻度Criticalに分類される脆弱性(CVE-2022-22954/CVE-2022-22955/CVE-2022-22956/CVE-2022-22957/CVE-2022-22958)が確認されたとして修正パッチをリリースしました。
この脆弱性は修正パッチをインストールすることで対策が可能です。
VMwareのアナウンス
脆弱性の詳細
以下の深刻度Criticalの脆弱性が確認されています。
サーバー側のテンプレートインジェクションリモートコード実行の脆弱性(CVE-2022-22954)
ネットワークにアクセスできる攻撃者がOOXMLドキュメントのフォーマットのテンプレート属性を通して不正なマクロを実行する可能性があります。
OAuth2 ACS認証バイパスの脆弱性(CVE-2022-22955、CVE-2022-22956)
OAuth2 ACS認証を迂回し、攻撃者にデバイスの機密情報を盗み見られる可能性があります。
JDBCインジェクションリモートコード実行の脆弱性(CVE-2022-22957、CVE-2022-22958)
悪意のあるJDBC URLを介した信頼できないデータの逆シリアル化の実行により、リモートで任意のコードが実行される可能性があります。
対象製品
対象製品、かつ影響を受けるバージョンの場合、早めに修正パッチを適用しましょう。
- VMware Workspace ONE Access
- VMware Identity Manager
影響を受けるバージョン一覧
- VMwareWorkspaceONEアクセスアプライアンス 21.08.0.1
- VMwareWorkspaceONEアクセスアプライアンス 21.08.0.0
- VMwareWorkspaceONEアクセスアプライアンス 20.10.0.1
- VMwareWorkspaceONEアクセスアプライアンス 20.10.0.0
- VMwareIdentityManagerアプライアンス 3.3.6
- VMwareIdentityManagerアプライアンス 3.3.5
- VMwareIdentityManagerアプライアンス 3.3.4
- VMwareIdentityManagerアプライアンス 3.3.3
- VMware Realize Automation 7.6