ARC24-001

Vulnérabilité d’injection SQL (SQLI)de Veritas Data Insight

Historique des revisions

  • 1.0: December 16, 2024 : Version Initiale
  • 1.1: January 02, 2025: CVE_ID ajouté

Résumé :

Une vulnérabilité a été découverte dans les versions Arctera Data Insight 7.1 et antérieures.  La vulnérabilité permet à un agresseur de modifier la syntaxe d'une requête SQL dans l'une des fonctionnalités d'administration de l'application. Cela peut amener l'agresseur à soumettre des commandes SQL arbitraires sur la base de données principale pour créer, lire, mettre à jour ou supprimer des données stockées dans la base de données.

Problème :

IDENTIFIANT DE L'CVE : CVE-2024-46542
Sévérité : Moyenne
 CVSS v3.1 Score de base 6.5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)
CWE-89 : Neutralisation incorrecte d'éléments spéciaux utilisés dans une commande SQL (« Injection SQL »)

Prerequis

Il est nécessaire que l'agresseur ait le rôle d'administrateur d'application qui permet de parcourir la base de données via la console Web.

Versions concernées

Arctera Data Insight versions 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, 7.0.1 and 7.1. Les Versions antérieures non prises en charge de Arctera Data Insight peuvent également être affectés. 

Remédiation:

Les clients sous contrat de maintenance en cours doivent effectuer une mise à niveau vers la version 7.1.1 de Data Insight :

https://www.veritas.com/support/de_DE/downloads/update.UPD530310

Consultez le centre de téléchargement pour connaître les mises à jour disponibles : https://www.veritas.com/support/de_DE/downloads

Reconnaissance :

Arctera tiens à remercier Mario Tesoro de nous avoir signalé cette vulnérabilité.

Questions:

Pour toute question ou problème concernant ces vulnérabilités, veuillez contacter Arctera Technical Support (https://www.arctera.io/support).

Clause de non-responsabilité

CET AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTES LES CONDITIONS, REPRÉSENTATIONS ET GARANTIES EXPRESSES OU IMPLICITES, Y COMPRIS TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER OU DE NON-CONTREFAÇON, SONT EXCLUES, SAUF DANS LA MESURE OÙ CES EXONÉRATIONS SONT CONSIDÉRÉES COMME JURIDIQUEMENT NON VALABLES. VERITAS TECHNOLOGIES LLC NE SERA PAS RESPONSABLE DES DOMMAGES ACCESSOIRES OU INDIRECTS LIÉS À LA FOURNITURE, À L'EXÉCUTION OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUJETTES À MODIFICATION SANS PRÉAVIS.

Arctera US LLC
6200 Stoneridge Mall Road, Suite 150
Pleasanton, CA 94588