警惕！VMware Workspace ONE UEM console 服务器端请求伪造（SSRF）漏洞

0x01 漏洞描述

VMware Workspace ONE是一个强大的数字工作空间集成解决方案，包括访问管理、统一端点管理（UEM），分析，桌面和应用虚拟化以及端点安全。

2021年12月17日，360漏洞云团队监测到 VMware发布安全公告，修复了一个VMware Workspace ONE UEM console中的服务器端请求伪造漏洞。漏洞编号：CVE-2021-22054，漏洞威胁等级：严重，漏洞评分：9.1。

具有 UEM 网络访问权限的恶意行为者可以在未经身份验证的情况下发送他们的请求，并可能利用此问题来访问敏感信息。

0x02 危害等级

严重：9.1

0x03 影响版本

VMware Workspace ONE UEM console 

=2105

=2102

=2011

=2008

0x04 修复建议

厂商已发布更新修复该漏洞，用户请尽快更新至安全版本：

VMware Workspace ONE UEM console

21.5.0.37、 21.2.0.27、 20.11.0.40、 20.0.8.36

与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

0x05 时间轴

2021-12-17 – 360漏洞云监测到VMware发布安全公告，修复了VMware Workspace ONE UEM console中的服务器端请求伪造漏洞。

2021-12-17 – 360漏洞云发布安全动态。