VMware 在其在 Windows 上运行的 Carbon Black App Control 安全产品中修补了两个安全漏洞，一个操作系统命令注入漏洞和一个文件上传漏洞。

就 CVSS 严重性而言，这两个错误都被评为 9.1 分（满分 10 分）。它们可被利用在 Windows 主机上执行任意命令，例如部署恶意软件、泄露数据或探索网络其余部分的命令。

在这两种情况下，攻击者都需要以管理员或高权限用户身份登录，这意味着利用仅限于流氓内部人员和被劫持的管理员帐户。另一方面，剥削意味着糟糕的情况即将变得更糟。鉴于内部威胁的增加和管理员访问权限的受损，修补此问题以限制甚至受信任帐户的范围并不是一个坏主意。

VMware关于此事的公告并未说明这些漏洞是否受到主动攻击。当我们询问这家虚拟化巨头是否清楚时，一位发言人没有给我们答案，而是告诉我们：

这两个漏洞都会影响 VMware 的 Carbon Black App Control 产品。这是一个基于代理的数据中心安全工具，允许系统管理员锁定服务器并防止对关键系统进行任何不必要的更改或篡改。

其中一个安全漏洞CVE-2022-22951是操作系统命令注入漏洞。根据 VMware 的说法，它可以允许经过身份验证的攻击者具有高权限和网络访问 VMware App Control 管理界面的权限，以在服务器上远程执行命令。

第二个CVE-2022-22952可能允许具有管理访问权限的攻击者上传特制文件，然后在运行 App Control 服务器的 Windows 实例上执行恶意代码。 

安全顾问Jari Jääskelä发现了这两个错误并将它们报告给 VMware。

Carbon Black App Control 漏洞遵循早期的安全警报，包括 VMware ESXi 虚拟机管理程序中 XHCI 和 UHCI USB 控制器中的两个关键访客到主机漏洞。VMware在 2 月份修补的 XHCI 和 UHCI USB 控制器漏洞可能允许在虚拟机中具有管理权限的攻击者在主机上执行恶意代码作为 VM 的 VMX 进程。 

而且，当然，即使是 VMware 也无法逃脱 Log4j 漏洞，该漏洞在去年底影响了地球上几乎所有的企业产品。一些软件商店仍在努力修补它。 

总共有 100 多个VMware 产品受到Log4j 错误的影响，这让 VMware 在 2021 年 12 月至 2022 年 2 月期间忙于发布大量补丁。

在供应商披露其第一个 Log4J 漏洞后不久，VMware发现了另一个严重缺陷：VMware 的 Workspace ONE 统一端点管理 (UEM) 产品中的服务器端伪造请求。 

根据 VMware 的安全公告，这可能允许对 UEM 具有网络访问权限的人无需身份验证即可发送请求，然后“利用此问题获取敏感信息的访问权限”