当前位置:首页 > 漏洞预警 > 正文

VMware Workspace One服务端请求伪漏洞(CVE-2021-22002)预警

发布时间:2021-08-09 14:28:21,来源:北京奇虎科技有限公司

      一、 基本情况

近日,VMware发布安全更新公告,修复了VMware Workspace One Access、 Identity Manager、vRealize Automation等产品存在的2个安全漏洞,相关漏洞CVE编号:CVE-2021-22002,CVE-2021-22003。其中CVE-2021-22002漏洞危害较大,攻击者可利用该漏洞执行服务端请求伪造(SSRF)攻击,获取内部网络服务的访问权限。建议受影响用户及时安装补丁进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

      二、 漏洞等级

高危

      三、 漏洞描述

VMware Workspace One是美国VMware公司的一款数字化工作空间平台,可通过集成访问控制、应用管理和多平台端点管理来在任意设备上交付和管理任意应用。VMware Workspace One (原VMware Identity Manager)是Workspace One的身份和访问管理组件。

该漏洞是由于对用户提供输入缺乏充分验证,具有访问443端口权限的用户可通过篡改host主机头来访问/cfg web应用程序,未经身份验证的远程攻击者可利用该漏洞执行服务端请求伪造(SSRF)攻击,从而获取内部网络服务的访问权限。

      四、 影响范围

VMware Workspace ONE Access 20.10.0.1

VMware Workspace ONE Access 20.10

VMware Identity Manager 3.3.5

VMware Identity Manager 3.3.4

VMware Identity Manager 3.3.3

VMware Identity Manager 3.3.2

VMware vRealize Automation (embedded vIDM) 7.6

VMware vRealize Automation 8.x

VMware vRealize Automation (vIDM) 7.6

VMware Cloud Foundation (vIDM) 4.x

VMware vRealize Suite Lifecycle Manager (vIDM) 8.x

      五、 安全建议

目前厂商已发布补丁修复漏洞,建议受影响用户尽快安装部署。

下载链接:

https://kb.vmware.com/s/article/85254

      六、 参考链接

https://www.vmware.com/security/advisories/VMSA-2021-0016.html

https://kb.vmware.com/s/article/85254