VTS24-010

Vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejadas en Veritas Data Insight

Historial de revisiones

  • 1.0: 25 de septiembre de 2024: versión inicial

Resumen

Se descubrió una vulnerabilidad en las versiones 7.0.1 y anteriores de Veritas Data Insight. Permite a un atacante remoto inyectar un script web arbitrario en una solicitud HTTP, que podría reflejarse en un usuario autenticado sin validación si lo ejecuta dicho usuario.

Problema

Id. de CVE: CVE-2024-47854
Gravedad: media
Puntaje base del CVSS v3.1: 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
CWE-79: neutralización incorrecta de la entrada durante la generación de la página web ('secuencias de comandos entre sitios')

Requisitos previos

Se requiere que el objetivo de este ataque inicie sesión como usuario de la aplicación Veritas Data Insight y complete el envío de la solicitud maliciosa a la aplicación.

Versiones afectadas

Versiones 6.0, 6.1, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.2, 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, y 7.0.1. de Veritas Data Insight

Reparación

Los clientes con un contrato de mantenimiento vigente deben actualizar a la versión 7.1 de Data Insight.

Consulte el Centro de descargas de Veritas para ver las actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads

Reconocimiento

Veritas desea agradecer a Mario Tesoro por notificarnos sobre esta vulnerabilidad.

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte Técnico de Veritas (https://www.veritas.com/support/es_ES)

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS, EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL.  VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN.  LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054