Omnissa Workspace ONE UEM 多个漏洞 (OMSA-2025-0004)
high Nessus 插件 ID 265967
语言:
简介
远程 Web 服务器受到开放重定向漏洞的影响。描述
远程主机上运行的 Workspace ONE UEM console 版本受到多个漏洞影响具体如下- Omnissa Workspace ONE UEM 包含一个服务器端请求伪造 (SSRF) 漏洞。拥有用户权限的恶意执行者可能会访问受限制的内部系统信息从而可能启用内部网络资源的枚举。 (CVE-2025-25229)
- Omnissa Workspace ONE UEM 包含一个辅助上下文路径遍历漏洞。恶意执行者可能会通过向受限制的 API 端点发送构建的 GET 请求只读来获取敏感信息的访问权限。 (CVE-2025-25231)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Workspace ONE UEM 版本 23.10.0.50、 24.2.0.30、 24.6.0.35、 24.10.0.11 或更高版本。另见
插件详情
严重性: High
ID: 265967
文件名: omnissa_workspace_one_uem_omsa-2025-0004.nasl
版本: 1.1
类型: remote
系列: Web Servers
发布时间: 2025/9/26
最近更新时间: 2025/9/26
支持的传感器: Nessus
Enable CGI Scanning: true
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: High
基本分数: 7.8
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS 分数来源: CVE-2025-25231
CVSS v3
风险因素: High
基本分数: 7.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞信息
CPE: cpe:/a:vmware:workspace_one
必需的 KB 项: installed_sw/AirWatch Console
补丁发布日期: 2025/8/11
漏洞发布日期: 2025/8/11
参考资料信息
CVE: CVE-2025-25229, CVE-2025-25231
IAVA: 2025-A-0693