更新时间:2021-11-16 15:31:32
《空中观察》 (Air Watch)与编程书籍中最古老的技能之一相冲突:信任用户提供的输入。
因此,恶意用户可以使用Air Watch云访问其他客户的信息,并下载属于其他客户的应用程序。
新西兰安全公司Security-Assessment.com(SA)在描述此漏洞的咨询(PD F)中表示,已于10月29日通知VMware此问题,并于12月10日发布补丁。
SA表示,“发现Air Watch云控制台使用整数来指代各种对象。”可以根据用户提供的输入直接访问这些对象。
通过操纵GET变量,SA研究员DenisAndzakovic可以枚举属于其他客户的信息,包括智能组、信誉扫描和私有应用程序。
Ann Dzakovic还发现,一旦找到应用程序ID,可能会触发在终端设备上安装另一个客户的私有应用程序。
虽然Air Watch云上个月已经打了补丁,但是还没有升级到Air Watch 7 . 3 . 3 . 0版本的本地用户仍然容易受到攻击。
去年这个时候,Air Watch被VMware以15.4亿美元收购。