Veritas Data Insight における反射型クロスサイトスクリプティング (XSS) の脆弱性

リビジョン履歴

• 1.0: 2024 年 9 月 25 日: 初回バージョン

概要

Veritas Data Insight 7.0.1 およびそれ以前のバージョンにおいて脆弱性が発見されました。この脆弱性により、リモートの攻撃者が HTTP リクエストに任意の Web スクリプトを挿入できるようになり、認証済みのユーザーがリクエストを実行すると、無害化されることなくユーザーに返される恐れがあります。

問題

CVE ID: CVE-2024-47854

重大度: 中

CVSS v3.1 基本スコア 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

CWE-79: Web ページ生成時の入力の不適切な中立化 (「クロスサイトスクリプティング」)

前提条件

この攻撃の影響を受けるのは、Veritas Data Insight アプリケーションのユーザーとしてログインし、アプリケーションに対して悪質なリクエストの送信を完了した場合のみです。

影響を受けるバージョン

Veritas Data Insight バージョン 6.0、6.1、6.1.1、6.1.2、6.1.3、6.1.4、6.1.5、6.1.6、6.2、6.3、6.3.1、6.4、6.4.1、6.5、6.5.1、6.5.2、6.6、6.6.1、6.6.2、7.0、および 7.0.1

修復策

現在メンテナンス契約をお持ちのお客様は、Data Insight バージョン 7.1 にアップグレードしてください。

利用可能な更新については、ベリタスダウンロードセンター (https://www.veritas.com/support/ja_JP/downloads) を参照してください。

謝辞

この脆弱性を弊社にご報告いただいた Mario Tesoro 氏に感謝いたします。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054