近日，VMware 发布消息通知用户立即修补多个产品中的关键漏洞，威胁者可以利用这些漏洞发起远程代码执行攻击。

目前发现的漏洞会造成严重的后果，因此希望用户能够按照VMSA-2021-0011 中的说明立即修补此漏洞。由于每个用户的运行环境不同，对风险的容忍度不同，安全控制和纵深防御也不同，所以用户可以自行决定对该漏洞的处置方法，但我们强烈建议立即采取行动。

 

五个关键漏洞的补丁

 

本次修补的严重安全漏洞列表包括一个服务器端模板注入远程代码执行漏洞（CVE-2022-22954）、两个 OAuth2 ACS 身份验证绕过漏洞（CVE-2022-22955、CVE-2022-22956）和两个 JDBC注入远程代码执行漏洞（CVE-2022-22957、CVE-2022-22958）。

同时，VMware 还修补了可能被用于跨站点请求伪造 (CSRF) 攻击 (CVE-2022-22959)、提升权限 (CVE-2022-22960) 和未经授权访问信息 (CVE- 2022-22961）。

受到这些安全漏洞影响的 VMware 产品包括：

• VMware Workspace ONE Access（Access）

• VMware Identity Manager (vIDM)

• VMware vRealize Automation (vRA)

• VMware Cloud Foundation

• vRealize Suite Lifecycle Manager

 

如何解决这些安全漏洞

 

如何解决这些安全漏洞呢？VMware表示完全消除漏洞的唯一方法是应用补丁。

不过，鉴于有很多用户可能无法立即修复漏洞，因此VMware也提供了临时解决方案。具体的解决方案可以参考该文档。需要注意的是，临时解决方案虽然方便，但不会完全消除漏洞带来的危害，并且有可能引入额外的复杂性。