قامت شركة VMware المزودة لخدمات المحاكاة الافتراضية يوم الثلاثاء بشحن تحديثات لمعالجة 10 ثغرات أمنية تؤثر على العديد من المنتجات والتي يمكن أن يسيء استخدامها مهاجمون غير معتمدين لتنفيذ إجراءات ضارة.

أخطر العيوب هي CVE-2022-31656 (درجة CVSS: 9.8)، وهي ثغرة أمنية لتجاوز المصادقة تؤثر على مستخدمي المجال المحلي والتي يمكن الاستفادة منها من قبل جهة فاعلة سيئة لديها وصول إلى الشبكة للحصول على حقوق إدارية.

كما تم حل ثلاث ثغرات أمنية عن بُعد في تنفيذ التعليمات البرمجية (CVE-2022-31658 و CVE-2022-31659 و CVE-2022-31665) عن طريق VMware والتي تتعلق بإدخال JDBC و SQL والتي يمكن أن يتم تسليحها بواسطة خصم لديه وصول المسؤول والشبكة.

في مكان آخر، عالجت أيضًا ثغرة في البرمجة النصية عبر المواقع (XSS) (CVE-2022-31663) التي قالت إنها نتيجة لتعقيم المستخدم غير المناسب، مما قد يؤدي إلى تنشيط كود JavaScript ضار.

تقريب التصحيحات ثلاثة أخطاء محلية في تصعيد الامتيازات (CVE-2022-31660، و CVE-2022-31661، و CVE-2022-31664) تسمح لممثل لديه وصول محلي بتصعيد الامتيازات إلى "الجذر"، وهو ثغرة أمنية في إدخال عنوان URL ( CVE-2022-31657)، وخطأ اجتياز المسار (CVE-2022-31662).

في حين أن الاستغلال الناجح لـ CVE-2022-31657 يجعل من الممكن إعادة توجيه مستخدم مصادق عليه إلى مجال تعسفي ، يمكن لـ CVE-2022-31662 تجهيز المهاجم لقراءة الملفات بطريقة غير مصرح بها.

قالت VMware إنها ليست على علم باستغلال هذه الثغرات الأمنية في البرية ، لكنها حثت العملاء الذين يستخدمون المنتجات الضعيفة على تطبيق التصحيحات فورًا للتخفيف من التهديدات المحتملة.