【安全圈】VMware 存在严重的命令注入型漏洞 且尚未被修复

VMware发布了临时解决方案，以解决其产品中的一个严重漏洞，攻击者可以利用该漏洞控制受影响的系统。

这家虚拟化软件和服务公司在其咨询中指出：“恶意攻击者可以通过端口8443访问网络上的管理配置器，配置器管理员帐户的有效密码，从而可以在底层操作系统上以不受限制的特权执行命令。”

该命令注入漏洞的编号为CVE-2020-4006，其CVSS评分为9.1（满分10），影响VMware Workspace One Access、Access Connector、Identity Manager和Identity Manager Connector。

虽然该公司表示此漏洞的补丁“即将发布”，但并没有说明预计发布的具体日期。目前尚不清楚该漏洞是否被攻击者利用。

受影响产品的完整列表如下：

• VMware Workspace One Access（适用于Linux和Windows的版本20.01和20.10）

• VMware Workspace One Access Connector（适用于Windows的版本20.10、20.01.0.0和20.01.0.1）

• VMware Identity Manager（适用于Linux和Windows的版本3.3.1、3.3.2和3.3.3）

• VMware Identity Manager Connector（适用于Linux的版本3.3.1、3.3.2和Windows的3.3.1、3.3.2、3.3.3）

• VMware Cloud Foundation（适用于Linux和Windows的4.x版）

• VRealize Suite Lifecycle Manager（适用于Linux和Windows版本8.x）

VMware表示，该解决方案仅适用于托管在8443端口上的管理配置器服务。

该公司表示，“解决方法实施后，将无法更改配置器管理的设置。如果需要更改，需要先恢复原来的状态，进行必要的更改后再次禁用，直到补丁可用。”

   END