VMWare管理平台产品Workspace One爆重大指令注入漏洞，官方公布缓解措施，修补程式还在路上

VMware本周公布旗下Workspace One管理组态工具存在重大风险漏洞，影响多个产品。由于修补程式还在制作中，VMware因而紧急提供缓解措施。

编号 CVE-2020-4006的漏洞为一指令注入漏洞。该漏洞是由第三方研究单位透过私下管道通报VMware。VMware并未提供详细资讯，仅表示该漏洞能让经由port 8443存取此一管理组态工具，并持有效的管理员账号、密码的攻击者，以不受限的权限在底层操作系统执行指令。本漏洞CVSS 3.1风险层级达9.1，属于重大风险。

 CVE-2020-4006影响VMware Workspace One产品线，主要危及Linux 版本，包括Access 20.01/20.10、Access Connector 20.01/20.10 、Identity Manager（vIDM）3.3.x及Identity Manager Connector（vIDM Connector）3.3.x。其中vIDM Connector 的Windows 3.3.x版本也受到影响。

VMware表示目前正在制作修补程式，因此该公司也提供缓解措施(workaround)协助用户免于遭骇，主要是加入指令码。VMWare也提醒用户，该措施只是暂时性解决方案，而在启用后，将暂时无法变更Workspace One所管理的设定。

而美国网络安全暨基础架构安全署（Cybersecurity and Infrastructure Security Agency，CISA）也呼吁企业用户尽速套用VMware提供的缓解措施，避免被攻击者接管系统。