As falhas são dadas pelo CVE-2021-22002 e CVE-2021-22003, afetando:

VMware Workspace One Access (Access)

VMware Identity Manager (vIDM)

VMware vRealize Automation (vRA)

VMware Cloud Foundation

vRealize Suite Lifecycle Manager.

A primeira - CVE-2021-22002 - diz respeito a um problema na forma como o VMware Workspace One Access e Identity Manager permite o acesso ao diretório /cfg" na aplicação web pela porta 443 através do disfarce ou modificação do host header, o que irá levar a um pedido server-side.

A outra - CVE-2021-22003 - diz respeito à possibilidade de acesso a informação sensível, ou seja, uma interface de login exposta nos mesmos produtos, na porta 7443. Um atacante podia desencadear um ataque de força bruta.

Solução

Aplicar o workaround disponível na página oficial da VMware

Mais informações sobre como proceder ao workaround necessário: https://kb.vmware.com/s/article/85255