ARC24-001

Arctera Data Insight Vulnerabilidad de Inyección SQL (SQLi)

Historial de revisiones

  • 1.0: 16 de diciembre de 2024: versión inicial
  • 1.1: 2 de enero de 2025: se agregó CVE_ID

Resumen

Se descubrió una vulnerabilidad en las versiones 7.1 y anteriores de Arctera Data Insight. La vulnerabilidad permite a un invasor modificar la sintaxis de una consulta SQL en una de las funciones administrativas de la aplicación. Esto puede dar como resultado que el invasor pueda enviar comandos SQL arbitrarios en la base de datos back-end para crear, leer, actualizar o eliminar datos almacenados en la base de datos. 

Problema

CVE ID: CVE-2024-46542
Severidad: media
CVSS v3.1 Puntaje básico 6.5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)
CWE-89: Neutralización incorrecta de elementos especiales utilizados en un comando SQL ("Inyección SQL")

Prerrequisitos

Se requiere que el invasor tenga el rol de Administrador de la Aplicación que le permita navegar por la base de datos a través de la consola web. 

Versiones afectadas

Arctera Data Insight versiones 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, 7.0.1 and 7.1. Las versiones anteriores no compatibles de Arctera Data Insight también pueden verse afectadas.

Remediación

Los clientes con un contrato de mantenimiento vigente deben actualizar a la versión 7.1.1 de Data Insight.

Consulte el Centro de descargas para ver las actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads

Reconocimiento

Arctera desea agradecer a Mario Tesoro por notificarnos sobre esta vulnerabilidad.

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, comuníquese con el soporte técnico de Arctera (https://www.arctera.io/support).

Descargo de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL" Y SE RENUNCIA A TODAS LAS CONDICIONES, REPRESENTACIONES Y GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO PARTICULAR O NO INFRACCIÓN, EXCEPTO EN LA MEDIDA EN QUE DICHAS EXENCIONES DE RESPONSABILIDAD SE CONSIDEREN LEGALMENTE INVÁLIDAS. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR DAÑOS INCIDENTALES O CONSECUENTES EN CONEXIÓN CON EL SUMINISTRO, EL EJECUCIÓN O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN CONTENIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN PREVIO AVISO.

Arctera US LLC
6200 Stoneridge Mall Road, Suite 150
Pleasanton, CA 94588