VTS24-010

Vulnerabilità di scripting fra siti (XSS) riflesso in Veritas Data Insight

Cronologia delle revisioni

  • 1.0: 25 settembre 2024: versione iniziale

Riepilogo

È stata rilevata una vulnerabilità in Veritas Data Insight 7.0.1 e versioni precedenti.  Questa consente agli aggressori remoti di inserire uno script Web arbitrario in una richiesta HTTP, in modo da riflettere senza sanificazione un utente autenticato, se eseguita da quell'utente.

Problema

ID CVE: CVE-2024-47854
Gravità: media
Punteggio base CVSS v3.1: 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Neutralizzazione errata degli input durante la generazione di pagine Web ("Scripting tra siti riflesso")

Prerequisiti

È necessario che il target di questo attacco abbia effettuato l'accesso come utente all'applicazione Veritas Data Insight e che completi l'invio della richiesta pericolosa all'applicazione.

Versioni interessate

Versioni di Veritas Data Insight: 6.0, 6.1, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.2, 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0 e 7.0.1.

Riparazione

Si consiglia ai clienti con un contratto di manutenzione attivo di eseguire l'upgrade alla versione 7.1 di Data Insight.

Cercare nel Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads

Riconoscimenti

Veritas desidera ringraziare Mario Tesoro per averci informato in merito a questa vulnerabilità.

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il Supporto Tecnico Veritas (https://www.veritas.com/support/it_IT).

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE.  VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE.  LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054