一、漏洞详情

VMware vCenter Server是一款高级服务器管理软件，提供了一个集中式平台来控制 vSphere 环境，以实现跨混合云的可见性。

VMware发布vCenter Server安全更新，修复了vCenter Server和Cloud Foundation中的信息泄露漏洞（CVE-2022-22948）。

vCenter Server包含由于文件权限不正确而导致的信息泄露漏洞，可以利用此漏洞在对vCenter Server具有非管理员访问权限的情况下获取敏感信息。

Vmware VMware Tools for Windows是美国威睿（Vmware）公司的一套基于Windows平台的、VMWare虚拟机自带的增强工具，它是VMware提供的用于增强虚拟显卡和硬盘性能、以及同步虚拟机与主机时钟的驱动程序。

VMware Tools for Windows存在代码问题漏洞，来宾操作系统上的本地特权攻击者可利用该漏洞将专门制作的库放入当前工作目录，并在来宾操作系统上使用提升的（SYSTEM）特权执行任意代码。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

VMware VMware Tools for Windows 11.x.y

VMware VMware Tools for Windows 10.x.y，<12.0.0

三、修复建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://www.vmware.com/security/advisories/VMSA-2022-0007.html