漏洞描述

近日，监测到一则 VMware 部分组件存在模板注入漏洞的信息，漏洞编号： CVE-2022-22954。

组件介绍： VMware Workspace ONE Access 是 VMware 公司开发的一款智能驱动型数字化工作空间平台，通过 Workspace ONE Access 能够随时随地在任意设备上轻松、安全地交付和管理任意应用。 VMware vRealize Automation 是自动化部署方案云管平台。 VMware Cloud Foundation 是 VMware 公司混合云平台。 vRealize Suite Lifecycle Manager 是 vRealize Suite 生命周期和内容管理平台。

VMware 部分组件存在模板注入漏洞，远程攻击者利用该漏洞发送特制的 HTTP 请求，并执行服务器端模板注入从而导致远程代码执行。

漏洞危害

攻击者可利用该漏洞进行服务器端模板注入从而导致远程代码执行。

漏洞等级

高危

受影响的产品及版本

VMware Workspace ONE Access : 21.08.0.1， 21.08.0.0， 20.10.0.1， 20.10.0.0

VMware Identity Manager : 3.3.6， 3.3.5， 3.3.4， 3.3.3

VMware Cloud Foundation : 4.x

vRealize Suite Lifecycle Manager : 8.x

修复方案

根据影响版本中的信息，排查并升级到对应产品的最新版本。