VTS24-010

Sicherheitslücke beim reflektierten Cross Site Scripting (XSS) in Veritas Data Insight

Bisherige Aktualisierungen

  • 1.0: 25. September 2024: Erste Version

Zusammenfassung

In den Veritas Data Insight-Versionen 7.0.1 und früher wurde eine Sicherheitslücke festgestellt.  Sie ermöglicht es einem Remote-Angreifer, ein beliebiges Web-Skript in eine HTTP-Anforderung einzuschleusen, das an einen authentifizierten Benutzer ohne Bereinigung zurückreflektiert werden kann, wenn es von diesem Benutzer ausgeführt wird.

Problem

CVE-ID: CVE-2024-47854
Schweregrad: mittel
CVSS v3.1 Base Score 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Unzureichende Neutralisierung von Eingaben bei der Generierung von Webseiten („Cross-Site-Scripting“)

Voraussetzungen

Das Ziel dieses Angriffs muss als Benutzer der Veritas Data Insight-Anwendung angemeldet sein und die bösartige Anforderung muss vollständig an die Anwendung gesendet werden.

Betroffene Versionen

Veritas Data Insight-Versionen 6.0, 6.1, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.2, 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0 und 7.0.1

Behebung

Kunden mit einem laufenden Wartungsvertrag sollten ein Upgrade auf Data Insight Version 7.1 durchführen.

Verfügbare Aktualisierungen finden Sie im Veritas Download Center: https://www.veritas.com/support/de_DE/downloads

Danksagung

Veritas möchte Mario Tesoro für die Mitteilung dieser Sicherheitslücke danken.

Fragen

Bei Fragen oder Problemen im Zusammenhang mit diesen Sicherheitslücken wenden Sie sich an den technischen Support von Veritas (https://www.veritas.com/support/de_DE).

Haftungsausschluss

DIE SICHERHEITSANWEISUNG WIRD "WIE GELIEFERT" BEREITGESTELLT UND SCHLIESST JEGLICHE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, GEWÄHRLEISTUNGEN UND GARANTIEN AUS, EINSCHLIESSLICH DER STILLSCHWEIGENDEN GARANTIE DER VERKÄUFLICHKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTÜBERTRETUNG VON RECHTEN AN INTELLEKTUELLEM EIGENTUM, SOFERN DIESE HAFTUNGSAUSSCHLÜSSE NICHT DURCH GELTENDE GESETZE EINGESCHRÄNKT SIND.  VERITAS TECHNOLOGIES LLC IST IN KEINEM FALL ERSATZPFLICHTIG FÜR IRGENDWELCHE INDIREKTEN ODER FOLGESCHÄDEN IN ZUSAMMENHANG MIT DER LEISTUNGSFÄHIGKEIT ODER VERWENDUNG DIESER DOKUMENTATION.  DIE INFORMATIONEN IN DIESER DOKUMENTATION KÖNNEN SICH OHNE VORHERIGE ANKÜNDIGUNG ÄNDERN.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054, USA