Ejecución de comandos de Veritas InfoScale Operations Manager (VIOM) a través del aviso de seguridad de carga de archivos inseguros

VTS23-009

Ejecución de comandos de Veritas InfoScale Operations Manager (VIOM) a través del aviso de seguridad de carga de archivos inseguros

Historial de revisiones

1.0: 12 de julio de 2023: versión inicial
1.1: 14 de julio de 2023: recomendación sobre reparación actualizada
1.2: 20 de julio de 2023: Id. de CVE agregado

Resumen

Se descubrió una vulnerabilidad en la aplicación web XPRTLD de Veritas InfoScale Operations Manager (VIOM).

Problema

La aplicación web XPRTLD de VIOM permite que un atacante autenticado cargue todo tipo de archivos en el servidor. De esta forma, un atacante autenticado puede ejecutar el archivo malicioso para realizar una ejecución de comandos en el servidor remoto.

Id. de CVE: CVE-2023-38404
Gravedad: alta
Puntaje base del CVSS v3.1 7.2: (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
CWE-434: carga de archivo no restringida con tipo peligroso

Requisitos previos

Un atacante debe tener acceso de administrador a la aplicación web XPRTLD de VIOM.

Versiones afectadas

Versiones de Veritas InfoScale Operations Manager (VIOM) 7.0, 7.1, 7.2, 7.3, 7.3.1, 7.4, 7.4.2, 8.0. Las versiones anteriores no compatibles también pueden verse afectadas.

Reparación

Los clientes que tienen un contrato de mantenimiento vigente deben actualizar su entorno de VIOM como se recomienda a continuación:

Actualice la administración de servidores Veritas InfoScale Operations Manager (VIOM) a una versión 8.0.0.410 u 8.0.2 como mínimo.
Actualice los agentes de VIOM a una versión 7.4.2.810, 8.0.0.410 u 8.0.2.0 como mínimo, según la matriz de compatibilidad.

Consulte el Centro de descargas de Veritas para ver las actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, póngase en contacto con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054