Veritas Data Insight의 반사형 XSS(사이트 간 스크립팅) 취약점

개정 내역

• 1.0: 2024년 9월 25일: 초기 버전

요약

Veritas Data Insight 7.0.1 이전 버전에서 취약점이 발견되었습니다.  이 취약점으로 인해 원격 공격자가 임의 웹 스크립트를 HTTP 요청에 주입할 수 있으며, 인증된 사용자가 이 스크립트를 실행할 경우 무력화 없이 해당 사용자에게 다시 반영될 수 있습니다.

문제

CVE ID: CVE-2024-47854
심각도: 중간
CVSS v3.1 기본 점수 6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
CWE-79: 웹 페이지 생성 중 부적절한 입력 무력화('사이트 간 스크립팅')

필수 요건

이 공격의 대상은 Veritas Data Insight 애플리케이션의 사용자로 로그인하고 애플리케이션에 악성 요청을 완전히 전송해야 합니다.

영향을 받는 버전

Veritas Data Insight 버전 6.0, 6.1, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.2, 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0 및 7.0.1.

조치

현재 유지 관리 계약이 적용되는 고객은 Data Insight 버전 7.1로 업그레이드해야 합니다.

이용 가능한 업데이트는 베리타스 다운로드 센터(https://www.veritas.com/support/ko_KR/downloads)를 참조하십시오.

감사의 말

베리타스는 이 취약점에 대해 알려주신 Mario Tesoro 씨께 감사드립니다.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR)에 문의하시기 바랍니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다.  Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다.  이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054