Kritieke kwetsbaarheden in VMware Workspace ONE Assist

VMware waarschuwt voor drie kritieke kwetsbaarheden in Workspace ONE Assist voor Windows. Via de kwetsbaarheden kunnen aanvallers op afstand toegang verkrijgen tot Windows ONE Assist-omgevingen, zowel via internet als het lokale netwerk. Ook kunnen zij op het netwerk beheerdersrechten verkrijgen zonder zich te authenticeren.

De beveiligingsproblemen krijgen allen een beoordeling van 9,8 op een schaal van 10 in de CVSS-database. Het gaat om CVE-2022-31685 die aanvallers in staat stelt authentificatie te omzeilen, CVE-2022-31686 die problemen met de authentificatiemethode omschrijft en CVE-2022-31687 dat betrekking heeft op toegangsbeheer.

Een vierde kwetsbaarheid krijgt een beoordeling van 6,4 in de CVSS-database. Dit lek kan worden misbruikt om malafide JavaScript-code uit te voeren op systemen van slachtoffers. Een vijfde kwetsbaarheid is CVE-2022-31689, dat een beoordeling van 4,2 krijgt. Dit stelt malafide gebruikers in staat een valide sessietoken te bemachtigen, waarmee zij zich kunnen authenticeren in apps die deze token gebruiken.

Alle kwetsbaarheden hebben betrekking op versie 21.x en 22.x van Workspace ONE Assist. De problemen zijn opgelost in versie 22.10, die hier beschikbaar is. Meer informatie is hier te vinden.