安全通告

VMware服务端模板注入漏洞安全风险通告

发布日期：2022-4-15

漏洞描述

近日，监测到一则 VMware 部分组件存在模板注入漏洞的信息，漏洞编号：CVE-2022-22954。组件介绍：VMware Workspace ONE Access是VMware公司开发的一款智能驱动型数字化工作空间平台，通过Workspace ONE Access能够随时随地在任意设备上轻松、安全地交付和管理任意应用。VMware vRealize Automation 是自动化部署方案云管平台。VMware Cloud Foundation是VMware公司混合云平台。vRealize Suite Lifecycle Manager是vRealize Suite生命周期和内容管理平台。以上是组件的介绍。VMware部分组件存在模板注入漏洞，远程攻击者利用该漏洞发送特制的HTTP请求，并执行服务器端模板注入从而导致远程代码执行。

漏洞危害

攻击者可利用该漏洞进行服务器端模板注入从而导致远程代码执行。

漏洞等级

高危
受影响的产品及版本

VMware Workspace ONE Access : 21.08.0.1，21.08.0.0，20.10.0.1，20.10.0.0

VMware Identity Manager : 3.3.6，3.3.5，3.3.4，3.3.3

VMware Cloud Foundation : 4.x

vRealize Suite Lifecycle Manager : 8.x

修复方案

根据影响版本中的信息，排查并升级到对应产品的最新版本。

修复建议

当前官方已发布最新版本，建议受影响的用户及时升级到最新版本。链接如下:

https://kb.vmware.com/s/article/88099

参考链接

• https://www.vmware.com/security/advisories/VMSA-2022-0011.html