ARC24-001

Vulnerabilità di SQL Injection (SQLi) in Arctera Data Insight

Cronologia delle revisioni

  • 1.0: 16 dicembre 2024: Versione iniziale
  • 1.1: 2 gennaio 2025: Aggiunto CVE_ID

Riepilogo

È stata scoperta una vulnerabilità nelle versioni 7.1 e precedenti di Arctera Data Insight. La vulnerabilità consente a un attaccante di modificare la sintassi di una query SQL in una delle funzionalità amministrative dell'applicazione. Questo potrebbe permettere all'attaccante di inviare comandi SQL arbitrari al database back-end per creare, leggere, aggiornare o eliminare dati memorizzati nel database.

Problema

ID CVE: CVE-2024-46542

Gravità: Media

Punteggio Base CVSS v3.1: 6.5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)

CWE-89: Neutralizzazione impropria di elementi speciali utilizzati in un comando SQL ('SQL Injection')

Prerequisiti

È necessario che l'attaccante abbia il ruolo di Amministratore dell'Applicazione, che consente la navigazione del database tramite la console web.

Versioni Interessate

Le versioni di Arctera Data Insight interessate includono: 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, 7.0.1 e 7.1. Anche versioni precedenti non più supportate di Arctera Data Insight potrebbero essere interessate.

Soluzione

I clienti con un contratto di manutenzione attivo dovrebbero aggiornare alla versione 7.1.1 di Data Insight.

Consulti il Download Center per gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads.

Riconoscimenti

Arctera desidera ringraziare Mario Tesoro per averci informato di questa vulnerabilità.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico di Arctera (https://www.arctera.io/support).

Disclaimer

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI, RAPPRESENTAZIONI E GARANZIE ESPRESSE O IMPLICITE, INCLUSE EVENTUALI GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ A UNO SCOPO PARTICOLARE O NON VIOLAZIONE, SONO ESCLUSE, SALVO NELLA MISURA IN CUI TALI ESCLUSIONI SIANO RITENUTE LEGALMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON SARÀ RESPONSABILE PER DANNI INCIDENTALI O CONSEQUENZIALI IN RELAZIONE ALLA FORNITURA, PRESTAZIONE O UTILIZZO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE IN QUESTA DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO.

Arctera US LLC
6200 Stoneridge Mall Road, Suite 150
Pleasanton, CA 94588