VTS24-013
Cross-Site-Scripting-Schwachstellen in Veritas Enterprise Vault
Versionsgeschichte
- 1.0: 12. November 2024: Erste Version
- 2.0: 19. November 2024: CVE-ID hinzugefügt
Zusammenfassung
In Veritas Enterprise Vault Version 15.1 und früher wurde eine Schwachstelle entdeckt. Es ermöglicht einem authentifizierten Remote-Angreifer, einen Parameter in eine HTTP-Anfrage einzufügen, wodurch beim Anzeigen archivierter Inhalte Cross-Site-Scripting möglich wird. Dies kann ohne Bereinigung an einen authentifizierten Benutzer zurückgegeben werden, wenn es von diesem Benutzer ausgeführt wird.
| Beschreibung der Störung | Strenge | Bezeichner | CVE-Kennung | |
|---|---|---|---|---|
1 |
Cross-Site-Scripting-Schwachstelle |
Mittel |
ZDI-CAN-24695 |
|
2 |
Cross-Site-Scripting-Schwachstelle |
Mittel |
ZDI-CAN-24696 |
|
3 |
Cross-Site-Scripting-Schwachstelle |
Mittel |
ZDI-CAN-24697 |
|
4 |
Cross-Site-Scripting-Schwachstelle |
Mittel |
ZDI-CAN-24698 |
Ausstellen
CVE-ID: Siehe oben
Schweregrad: Mittel
CVSS v3.1 Basisbewertung 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Unsachgemäße Neutralisierung von Eingaben während der Webseitengenerierung ('Cross-Site Scripting')
Betroffene Versionen
Alle derzeit unterstützten Versionen von Enterprise Vault-Versionen: 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.2, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0. Frühere nicht unterstützte Versionen können ebenfalls betroffen sein.
Sanierung
Über die folgenden Links erhalten Sie die Sicherheitspatches, die für die Versionen 14.5.2, 15.0 und 15.1 erstellt wurden. In der Readme-Datei finden Sie detaillierte Installationsschritte.Stellen Sie sicher, dass diese Patches auf alle Enterprise Vault-Server in der Umgebung angewendet werden. Kunden, die mit älteren Versionen des Produkts arbeiten, wird empfohlen, ihre Upgrades entsprechend zu planen.
Enterprise Vault 14.5.2 – Behebung von Schwachstellen beim Cross-Site-Scripting
https://www.veritas.com/support/de_DE/downloads/update.UPD287322
Enterprise Vault 15.0.2 – Behebung von Schwachstellen beim Cross-Site-Scripting
https://www.veritas.com/support/de_DE/downloads/update.UPD368184
Enterprise Vault 15.1 - Behebung von Schwachstellen beim Cross-Site-Scripting
https://www.veritas.com/support/de_DE/downloads/update.UPD882911
Fragen
Bei Fragen oder Problemen zu diesen Schwachstellen wenden Sie sich bitte an den technischen Support von Veritas (https://www.veritas.com/support)
Anerkennung
Veritas bedankt sich bei Sina Kheirkhah in Zusammenarbeit mit der Zero Day Initiative (ZDI) von Trend Micro für die Benachrichtigung über diese Schwachstellen.
Verzichtserklärung
DER SICHERHEITSHINWEIS WIRD "WIE BESEHEN" ZUR VERFÜGUNG GESTELLT, UND ALLE AUSDRÜCKLICHEN ODER STILLSCHWEIGENDEN BEDINGUNGEN, ZUSICHERUNGEN UND GEWÄHRLEISTUNGEN, EINSCHLIESSLICH ALLER STILLSCHWEIGENDEN GARANTIEN DER MARKTGÄNGIGKEIT, DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK ODER DER NICHTVERLETZUNG VON RECHTEN, WERDEN AUSGESCHLOSSEN, ES SEI DENN, SOLCHE HAFTUNGSAUSSCHLÜSSE WERDEN FÜR RECHTLICH UNGÜLTIG ERKLÄRT. VERITAS TECHNOLOGIES LLC HAFTET NICHT FÜR ZUFÄLLIGE ODER FOLGESCHÄDEN IM ZUSAMMENHANG MIT DER BEREITSTELLUNG, LEISTUNG ODER VERWENDUNG DIESER DOKUMENTATION. DIE IN DIESER DOKUMENTATION ENTHALTENEN INFORMATIONEN KÖNNEN OHNE VORHERIGE ANKÜNDIGUNG GEÄNDERT WERDEN.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054