CVE-2022-22954

VMware Workspace ONE Access e Identity Manager

VMware Cloud Foundation

vRealize Suite Lifecycle Manager

O software contém uma vulnerabilidade de execução remota de código devido a uma injeção de modelo no lado do servidor. Um agente mal-intencionado com acesso à rede pode acionar essa injeção, levando potencialmente à execução remota de código. A vulnerabilidade está relacionada ao tratamento inadequado da geração de código dentro do componente Template Handler. A exploração pode ser realizada por meio de uma solicitação HTTP maliciosa direcionada ao ponto de extremidade da API /catalog-portal/ui/oauth/verify com o parâmetro deviceUdid. A carga útil utiliza a função freemarker.template.utility.Execute para executar comandos arbitrários. Relatórios indicam que a vulnerabilidade tem sido ativamente explorada pelo grupo APT Rocket Kitten para obter acesso inicial e implantar backdoors, incluindo o Core Impact. A vulnerabilidade permite o nível mais alto de acesso privilegiado a ambientes virtualizados de host e convidados.

As versões anteriores à correção para CVE-2022-22954 devem ser atualizadas.

Como solução alternativa temporária, considere desativar o componente vulnerável Template Handler até que um patch esteja disponível.

Restrinja o acesso ao ponto de extremidade da API /catalog-portal/ui/oauth/verify para minimizar o risco de exploração.