VTS24-013
Veritas Enterprise Vault のクロスサイトスクリプティングの脆弱性
改訂履歴
- 1.0: 2024年11月12日: 初期バージョン
- 2.0: 2024 年 11 月 19 日: CVE ID を追加
概要
Veritas Enterprise Vault バージョン 15.1 以前で[ZW2] 脆弱性が発見されました。これにより、認証されたリモートの攻撃者がHTTPリクエストにパラメータを挿入し、アーカイブされたコンテンツを表示しながらクロスサイトスクリプティングが可能になります。これは、サニタイズなしで認証されたユーザーによって実行された場合、そのユーザーに反映される可能性があります。
| 問題の説明 | 過酷 | 識別子 | CVE ID | |
|---|---|---|---|---|
1 |
クロスサイトスクリプティングの脆弱性 |
中程度 |
ZDI-CAN-24695 |
|
2 |
クロスサイトスクリプティングの脆弱性 |
中程度 |
ZDI-CAN-24696 |
|
3 |
クロスサイトスクリプティングの脆弱性 |
中程度 |
ZDI-CAN-24697 |
|
4 |
クロスサイトスクリプティングの脆弱性 |
中程度 |
ZDI-CAN-24698 |
発行
CVE ID: 上記参照
重大度: 中程度
CVSS v3.1 ベーススコア 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Web ページ生成中の入力の不適切な中立化 (「クロスサイトスクリプティング」)
影響を受けるバージョン
現在サポートされているすべての Enterprise Vault バージョン:15.1、15.0、15.0.1、15.0.2、14.5、14.5.1、14.4、14.4.1、14.4.2、14.3、14.3.1、14.3.2、14.2、14.2.3、14.2.2、14.2.1、14.1.3、14.1.2、14.1、14.0.1、14.0。サポート対象外の以前のバージョンも影響を受ける可能性があります。
修復
次のリンクを使用して、バージョン14.5.2、15.0、および15.1用にビルドされたセキュリティパッチを入手してください。詳細なインストール手順については Readme を確認し、これらのパッチが環境内のすべての Enterprise Vault サーバーに適用されていることを確認してください。古いバージョンの製品をご使用のお客様は、それに応じてアップグレードを計画することをお勧めします。
Enterprise Vault 14.5.2 - クロスサイトスクリプティングの脆弱性の修正
https://www.veritas.com/support/ja_JP/downloads/update.UPD287322
Enterprise Vault 15.0.2 - クロスサイトスクリプティングの脆弱性の修正
https://www.veritas.com/support/ja_JP/downloads/update.UPD368184
Enterprise Vault 15.1 - クロスサイトスクリプティングの脆弱性の修正
https://www.veritas.com/support/ja_JP/downloads/update.UPD882911
問
これらの脆弱性に関する質問や問題については、ベリタスのテクニカルサポート (https://www.veritas.com/support)
承認
ベリタスは、これらの脆弱性について通知してくれた Trend Micro の Zero Day Initiative (ZDI) に協力している Sina Kheirkhah 氏に感謝します。
免責事項
セキュリティアドバイザリは「現状のまま」提供され、商品性、特定目的への適合性、または非侵害の黙示の保証を含む、明示的または黙示的なすべての条件、表明、および保証は、そのような免責事項が法的に無効であると判断される範囲を除き、否認されます。VERITAS TECHNOLOGIES LLC は、本書の提供、性能、または使用に関連する偶発的または結果的な損害について責任を負わないものとします。このドキュメントに含まれる情報は、予告なしに変更される場合があります。
ベリタステクノロジーズLLC
2625オーガスティンドライブ
サンタクララ、カリフォルニア州95054