Fecha de publicación: Jue, 10/11/2022 - 12:01

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

Encabezando la lista hay tres vulnerabilidades críticas rastreadas como CVE-2022-31685, CVE-2022-31686 y CVE-2022-31687. Todas las deficiencias tienen una calificación de 9.8 en el sistema de calificación de vulnerabilidad CVSS.

CVE-2022-31685 es una falla de omisión de autenticación que podría ser aprovechada por un atacante con acceso de red a VMware Workspace ONE Assist para obtener acceso administrativo sin necesidad de autenticarse en la aplicación.

CVE-2022-31686 ha sido descrito por el proveedor de servicios de virtualización como una vulnerabilidad de "método de autenticación roto" y CVE-2022-31687 como una falla de "Control de acceso roto".

Un actor malicioso con acceso a la red puede obtener acceso administrativo sin necesidad de autenticarse en la aplicación.

Otra vulnerabilidad es un caso de vulnerabilidad de secuencias de comandos en sitios cruzados ( XSS ) reflejada (CVE-2022-31688, puntuación CVSS: 6.4) derivada de la desinfección incorrecta de la entrada del usuario, algo que podría explotarse para inyectar código JavaScript arbitrario en la ventana del usuario de destino. 

Recursos afectados

Las versiones afectadas por las vulnerabilidades reportadas son:

  • Workspace ONE Assist 21.x
  • Workspace ONE Assist 22.x

Solución

VMware solucionó todas las vulnerabilidades en la versión Workspace ONE Assist 22.10.

Recomendaciones

No existe soluciones alternativas, por lo tanto, se debe actualizar a la versión Workspace ONE Assist 22.10 para mititgar las vulnerabilidades.

Referencias

VMware soluciona 3 fallas críticas en el software Workspace ONE Assist