9VSA22-00742-01 CSIRT comparte vulnerabilidades en Workspace ONE Assist solution

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información entregada por VMware sobre varias vulnerabilidades que afectan a Workspace ONE Assist.

Vulnerabilidades

CVE-2022-31685

CVE-2022-31686

CVE-2022-31687

CVE-2022-31688

CVE-2022-31689

Impacto

Vulnerabilidades de riesgo crítico

CVE-2022-31685: Vulnerabilidad de evasión de autenticación que podría ser abusada por un atacante con acceso de red a VMware Workspace ONE Assist para obtener acceso de administrador sin necesidad de autenticarse en la aplicación.

CVE-2022-31686: Vulnerabilidad de método de autenticación averiado.

CVE-2022-31687: Vulnerabilidad de control de acceso averiado.

CVE-2022-31688: Vulnerabilidad XSS derivada de una sanitización inapropiada de inputs, lo que podría ser explotada para inyectar código JavaScript arbitrario en la ventana del usuario objetivo.

CVE-2022-31689: Vulnerabilidad de fijación de sesión resultante de un manejo inapropiado de tokens de sesión. Un actor malicioso que obtenga un token de sesión válida puede autenticarse en la aplicación usando este token.

Productos afectados

VMware Workspace ONE Assist 21.x y 22.x. Las vulnerabilidades son parchadas en la versión 22.10.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Enlaces

https://www.vmware.com/security/advisories/VMSA-2022-0028.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31685

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31686

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31687

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31688

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-31689

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00742-01.