VMware VMware已針對多個產品發布了安全更新，以解決一個可被利用來訪問機密信息的嚴重漏洞。

　　跟蹤為CVE-2021-22002(CVSS 評分：8.6)和CVE-2021-22003(CVSS 評分：3.7)，這些缺陷影響 VMware Workspace One Access (Access)、VMware Identity Manager (vIDM)、VMware vRealize Automation (vRA) 、VMware Cloud Foundation 和 vRealize Suite Lifecycle Manager。

　　
 

　　CVE-2021-22002 涉及 VMware Workspace One Access 和 Identity Manager 如何通過篡改主機標頭來允許通過端口 443 訪問“/cfg”Web 應用程序和診斷端點的問題，從而導致服務器端請求。

　　該公司在其公告中表示： “具有對端口 443 的網絡訪問權限的惡意行為者可能會篡改主機標頭以促進對 /cfg Web 應用程序的訪問，此外，黑客還可以在未經身份驗證的情況下訪問 /cfg 診斷端點。”

　　

 

　　知名網絡安全專家、東方聯盟創始人郭盛華透露，VMware 還解決了一個信息泄露漏洞，該漏洞通過端口 7443 上無意暴露的登錄界面影響 VMware Workspace One Access 和 Identity Manager。具有對端口 7443 的網絡訪問權限的攻擊者可能會發起暴力攻擊，該公司指出：“根據目標賬戶的鎖定策略配置和密碼復雜性，可能實用，也可能不實用。”

　　對于無法升級到最新版本的客戶，VMware為 CVE-2021-22002提供了一個解決方法腳本，該腳本可以獨立部署而無需使 vRA 設備脫機。“該解決方法禁用了解析 vIDM 配置頁面的能力。該端點未在 vRA 7.6 環境中使用，不會對功能造成任何影響，”該公司表示。(邯鄲微信托管)