VMware今天警告客户立即修补多个产品中的一个“影响本地域用户”的关键身份验证绕过漏洞，该漏洞可被利用以获得管理员权限。

该漏洞（编号为 CVE-2022-22972）由 Innotec Security 的 Bruno López 报告，他发现它会影响 Workspace ONE Access、VMware Identity Manager (vIDM) 和 vRealize Automation。

“具有网络访问 UI 的恶意行为者可能无需进行身份验证即可获得管理访问权限，”该公司解释说。

管理员敦促立即修补
VMware周三警告说：“应根据 VMSA-2021-0014 中的说明立即修补或缓解此严重漏洞。”

“此漏洞的后果很严重。鉴于漏洞的严重性，我们强烈建议立即采取行动，”

该公司还修补了第二个高严重性本地权限提升安全漏洞 (CVE-2022-22973)，该漏洞可让攻击者将未修补设备的权限提升为“root”。

受这些安全漏洞影响的 VMware 产品的完整列表包括：

VMware Workspace ONE Access（访问）
VMware 身份管理器 (vIDM)
VMware vRealize 自动化 (vRA)
VMware 云基础
vRealize Suite 生命周期管理器
虽然 VMware 通常会在大多数安全公告中添加有关主动利用的说明，但 VMware 并未在今天的 VMSA-2022-0014 公告中包含此类信息。

VMware 在其知识库网站上提供补丁下载链接和安装说明。

解决方法也可用
VMware 还为无法立即修补其设备的管理员提供临时解决方法。

此处详述的步骤要求管理员禁用除一名预配管理员之外的所有用户，并通过 SSH 登录以重新启动 Horizo​​n-workspace 服务。

但是，该公司不建议应用此变通方法，并表示完全解决 CVE-2022-22972 漏洞的唯一方法是修补易受攻击的产品。

“从您的环境中删除漏洞的唯一方法是应用 VMSA-2021-0014 中提供的补丁。解决方法虽然方便，但不会删除漏洞，并且可能会引入补丁不会带来的额外复杂性，”VMware 补充道。

“虽然修补或使用解决方法的决定权在您，但 VMware 始终强烈建议将修补作为解决此类问题的最简单、最可靠的方法。”

此处提供了一份支持文档，其中包含有关今天修补的关键漏洞的问题和答案列表。

4 月，VMware修补了 VMware Workspace ONE Access 和 VMware Identity Manager 中的另一个严重漏洞，即远程代码执行错误 (CVE-2022-22954)。

在一个概念验证漏洞被在线发布以部署硬币矿工并安装后门后的一周内，攻击者开始在攻击中利用它。