Le spécialiste californien de la virtualisation VMware révèle plusieurs failles critiques dans ses produits, dont trois (CVE-2022-22954, 22955 et 22956) atteignant un score de gravité de 9,8/10 sur l’échelle CVSS.
La première (22954) a un impact sur VMware Workspace ONE Access and Identity Manager. Elle permet à une personne malveillante de déclencher une injection de template côté serveur pouvant entraîner une exécution de code à distance. Les deux autres, 22955 et 22956, se trouvent dans VMware Workspace ONE Access et permettent à un·e attaquant·e d’exploiter des vulnérabilités de contournement dans OAuth2 ACS, puis d’exécuter n’importe quelle opération, en raison des points de terminaison exposés dans le cadre d’authentification.
Avec une note de 9,1/10, deux autres vulnérabilités, 22957 et 22958, sont à peine moins graves. Elles permettent à un acteur malveillant disposant d’un accès administratif de déclencher la ‘désérialisation’ de données non fiables via un URI JDBC malveillant. Une exécution de code à distance pourrait en résulter dans VMware Workspace ONE Access, Identity Manager et/ou vRealize Automation.
VMware a également révélé une vulnérabilité de type ‘cross-site request forgery’ évaluée à 8,8/10.
Et quand il n’y en a plus, il y en a encore : le client Horizon pour Linux – un outil utilisé pour accéder à des applications et des ordinateurs à distance – présente deux failles permettant à des utilisateur·rice·s peu privilégié·e·s d’agir outre leurs permissions.
Cette nouvelle série de failles critiques vient s’ajouter, entre autres, aux dernières révélations de VMware à propos du bug dans le framework Java Spring Core (Spring4Shell) qui affecte notamment des produits Tanzu, aux vulnérabilités dans les produits de sécurité Carbon Black et à son exposition à Log4j (Log4Shell).