虛擬技術大廠 VMware 日前發布資安通報，要求使用該公司各項軟體系統的管理者，立即進行軟體更新，以修復一個可以繞過身分驗證的嚴重資安漏洞。

這個漏洞的 CVE 編號為 CVE-2022-31656，由資安廠商 VNG Security 旗下的研究人員 Petrus Viet 發現，影響遍及 VMware Workspace ONE Access、Indentity Manager、vRealize Automation 等產品。

該漏洞屬於身分驗證繞過漏洞，駭侵者可利用該漏洞跳過系統的登入驗證程序，在未經授權的情形下進入系統，並可取得系統管理員權限。該漏洞的 CVSS 漏洞危險程度評分高達 9.8 分（滿分為 10 分），其漏洞危險程度評級列為最高的「嚴重」(Critical) 等級。

該公司指出，系統管理員必須依照 VMSA 的指示，立即修補或處理該漏洞。

除了 CVE-2022-31656 外，VMware 同時也修補多個資安漏洞，包括可導致駭侵者遠端執行任意程式碼的 CVE-2022-31658、CVE-2022-31659、CVE-2022-31665)，以及可讓駭侵者取得 root 權限的 CVE-2022-31660、CVE-2022-31661、CVE-2022-31664 等。

VMware 指出，如果單位採用 ITIL 進行變更管理，則這些修補會被視為「緊急變更」。

建議使用上述 VMware 產品的用戶，應立即依指示更新系統，修補上述漏洞，以免遭到駭侵者利用尚未修補完成的漏洞發動攻擊。