VMware修补了五个影响Workspace ONE Assist的漏洞

• VMware 针对私下向 VMware 报告的 VMware Workspace ONE Assist 中的多个漏洞发布了补丁。
• 其中三个漏洞的 CVSSv3 得分为 9.8，这被认为是严重的，并且没有可用的解决方法。
• REQON IT-Security 的 Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers报告了所有漏洞。

---

VMware发布了一份建议，敦促Workspace ONE Assist用户安装最新版本。根据公告，最新版本修复了 CVSSv3 评分从 4.2 到 9.8 的五个漏洞，因此其中三个是关键漏洞。VMware 表示，这些漏洞是私下向 VMware 报告的。

没有解决方法

根据公告，对于影响 Workspace ONE Assist 版本 21.x 和 22.x 的漏洞，没有已知的解决方法。这些漏洞已在版本 22.10 中修复。这些漏洞由 REQON IT-Security 的 Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 报告。

• 身份验证绕过漏洞( CVE-2022-31685 )：VMware Workspace ONE Assist 包含身份验证绕过漏洞。VMware 已将此问题的严重性评估为处于严重严重性范围内，CVSSv3 基本得分最高为 9.8。对 Workspace ONE Assist 具有网络访问权限的恶意行为者可能无需对应用程序进行身份验证即可获得管理访问权限。
• 损坏的身份验证方法漏洞( CVE-2022-31686 )：VMware Workspace ONE Assist 包含一个损坏的身份验证方法漏洞。VMware 已将此问题的严重性评估为处于严重严重性范围内，CVSSv3 基本得分最高为 9.8。具有网络访问权限的恶意行为者可能无需对应用程序进行身份验证即可获得管理访问权限。
• 损坏的访问控制漏洞( CVE-2022-31687 )：VMware Workspace ONE Assist 包含一个损坏的访问控制漏洞。VMware 已将此问题的严重性评估为处于严重严重性范围内，CVSSv3 基本得分最高为 9.8。具有网络访问权限的恶意行为者可能无需对应用程序进行身份验证即可获得管理访问权限。
• 反射式跨站脚本 (XSS) 漏洞( CVE-2022-31688 )：VMware Workspace ONE Assist 包含反射式跨站脚本 (XSS) 漏洞。VMware 已评估此问题的严重性在中等严重性范围内，CVSSv3 基本得分最高为 6.4。由于不正确的用户输入清理，具有某些用户交互的恶意行为者可能能够在目标用户的窗口中注入 javascript 代码。
• 会话修复漏洞( CVE-2022-31689 )：VMware Workspace ONE Assist 包含一个会话修复漏洞，原因是会话令牌处理不当。VMware 已将此问题的严重性评估为中等严重性范围，CVSSv3 基本得分最高为 4.2。获得有效会话令牌的恶意行为者可能能够使用该令牌对应用程序进行身份验证。