V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
VmwareПриложениеnvd

Identity Manager

Уязвимости
28
Эксплуатируемые
3
Макс. CVSS
9.8
Макс. EPSS
0.99997

Распределение по критичности

Критический
8
Высокий
15
Средний
5
Низкий
0

Затронутые диапазоны версий

2.0–2.72.0–2.7.1
Также сопоставлено как (исходные строки): vrealize_automation,workspace_one_access,identity_manager,one_access,cloud_foundation,vrealize_suite_lifecycle_manager,identity_manager_connector

Топ уязвимостей

CVE-2022-31657VMware Workspace ONE Access и Identity Manager содержат уязвимость внедрения URL-адреса. Злоумышленник с сетевым доступом может перенаправить аутентифицированного пользователя на произвольный домен.
CVE-2022-31656VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат уязвимость обхода аутентификации, затрагивающую пользователей локального домена. Злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без необходимости аутентификации.
CVE-2022-22972VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат уязвимость обхода аутентификации, затрагивающую пользователей локального домена. Злоумышленник с сетевым доступом к пользовательскому интерфейсу может получить административный доступ без необходимости аутентификации.
CVE-2022-22956VMware Workspace ONE Access имеет два уязвимости обхода аутентификации (CVE-2022-22955 и CVE-2022-22956) в фреймворке OAuth2 ACS. Злоумышленник может обойти механизм аутентификации и выполнять любые операции из-за открытых конечных точек в инфраструкутре аутентификации.
CVE-2022-22955VMware Workspace ONE Access имеет две уязвимости обхода аутентификации (CVE-2022-22955 и CVE-2022-22956) в фреймворке OAuth2 ACS. Злоумышленник может обойти механизм аутентификации и выполнить любую операцию из-за открытых конечных точек в фреймворке аутентификации.
CVE-2022-22954VMware Workspace ONE Access и Identity Manager содержат уязвимость удаленного выполнения кода из-за внедрения шаблонов на стороне сервера. Злоумышленник с сетевым доступом может вызвать внедрение шаблонов на стороне сервера, что может привести к удаленному выполнению кода.
CVE-2021-22002VMware Workspace ONE Access и Identity Manager позволяют получать доступ к веб-приложению /cfg и диагностическим конечным точкам на порту 8443 через порт 443 с использованием пользовательского заголовка хоста. Злоумышленник, имеющий сетевой доступ к порту 443, может подделать заголовки хоста для облегчения доступа к веб-приложению /cfg, кроме того, злоумышленник может получить доступ к диагностическим конечным точкам /cfg без аутентификации.
CVE-2020-4006VMware Workspace One Access, Access Connector, Identity Manager и Identity Manager Connector address имеют уязвимость внедрения команд.
CVE-2022-31664VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат уязвимость повышения привилегий. Злоумышленник с локальным доступом может повысить привилегии до уровня "root".
CVE-2022-31661VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат две уязвимости повышения привилегий. Злоумышленник с локальным доступом может повысить привилегии до уровня "root".
CVE-2022-31660VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат уязвимость повышения привилегий. Злоумышленник с локальным доступом может повысить привилегии до уровня "root".
CVE-2022-22973VMware Workspace ONE Access и Identity Manager содержат уязвимость повышения привилегий. Злоумышленник с локальным доступом может повысить свои привилегии до 'root'.
CVE-2022-22960VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат уязвимость повышения привилегий из-за неправильных разрешений в скриптах поддержки. Злоумышленник с локальным доступом может повысить свои привилегии до 'root'.
CVE-2016-5335VMware Identity Manager 2.x до 2.7 и vRealize Automation 7.0.x до 7.1 позволяют локальным пользователям получать root-доступ через неуказанные векторы.
CVE-2022-31662VMware Workspace ONE Access, Identity Manager, Connectors и vRealize Automation содержат уязвимость обхода пути. Злоумышленник с сетевым доступом может получить доступ к произвольным файлам.
CVE-2021-22056VMware Workspace ONE Access 21.08, 20.10.0.1 и 20.10 и Identity Manager 3.3.5, 3.3.4 и 3.3.3 содержат уязвимость SSRF. Злоумышленник, имеющий сетевой доступ, может отправлять HTTP-запросы к произвольным источникам и читать полный ответ.
CVE-2021-22003VMware Workspace ONE Access и Identity Manager непреднамеренно предоставляют интерфейс входа в систему на порту 7443. Злоумышленник, имеющий сетевой доступ к порту 7443, может попытаться перечислить пользователей или взломать конечную точку входа в систему методом brute force, что может быть или не быть практичным в зависимости от конфигурации политики блокировки и сложности пароля для целевой учетной записи.
CVE-2022-31700VMware Workspace ONE Access и Identity Manager содержат уязвимость удаленного выполнения кода с аутентификацией. VMware оценила серьезность этой проблемы как важную с максимальной базовой оценкой CVSSv3 7.2.
CVE-2022-31665VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат уязвимость удаленного выполнения кода. Злоумышленник с правами администратора и сетевым доступом может вызвать удаленное выполнение кода.
CVE-2022-31659VMware Workspace ONE Access и Identity Manager содержат уязвимость удаленного выполнения кода. Злоумышленник с правами администратора и сетевым доступом может вызвать удаленное выполнение кода.
CVE-2022-31658VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат уязвимость удаленного выполнения кода. Злоумышленник с правами администратора и сетевым доступом может вызвать удаленное выполнение кода.
CVE-2022-22958VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат две уязвимости удаленного выполнения кода (CVE-2022-22957 и CVE-2022-22958). Злоумышленник с правами администратора может инициировать десериализацию ненадежных данных через вредоносный JDBC URI, что может привести к удаленному выполнению кода.
CVE-2022-22957VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат две уязвимости удаленного исполнения кода (CVE-2022-22957 и CVE-2022-22958). Злоумышленник с административным доступом может вызвать десериализацию недоверенных данных через злонамеренный JDBC URI, что может привести к удаленному исполнению кода.
CVE-2023-20884VMware Workspace ONE Access и VMware Identity Manager содержат уязвимость небезопасного перенаправления. Не прошедший проверку подлинности злоумышленник может перенаправить жертву на контролируемый злоумышленником домен из-за неправильной обработки пути, что приведет к раскрытию конфиденциальной информации.
CVE-2022-31663VMware Workspace ONE Access, Identity Manager и vRealize Automation содержат отраженную уязвимость межсайтового скриптинга (XSS). Из-за неправильной очистки пользовательского ввода злоумышленник с некоторым взаимодействием с пользователем может внедрить код javascript в окно целевого пользователя.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →