Vulnerabilidad de secuencias de comandos entre sitios (XSS) reflejadas en Veritas Desktop and Laptop Option (DLO)

Historial de revisión

• 1.0: 5 de septiembre de 2022: versión inicial
• 1.1: 11 de octubre de 2022: Id. de CVE agregado

Resumen

Se encontró una vulnerabilidad de secuencias de comandos entre sitios reflejadas en Desktop and Laptop Option (DLO).

Problema

• Id. de CVE: CVE-2022-41319
• Gravedad: media
• Puntaje base del CVSS v3.1: 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Resumen

Una vulnerabilidad de secuencias de comandos entre sitios reflejadas (XSS) afecta la página de inicio de la aplicación de Desktop and Laptop Option (DLO). Esto permite a los atacantes remotos no autenticados inyectar secuencias web arbitrarias en el parámetro HTTP, que refleja la entrada del usuario sin depurar debido a una neutralización incorrecta de la entrada durante la generación de la página web (CWE-79).

Endpoints afectados

• https://{Host}/DLOServer/restore/login.jsp

Versiones afectadas

Desktop and Laptop Option (DLO) de Veritas, versiones 9.7, 9.6, 9.5, 9.4, 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1. Las versiones anteriores no compatibles también pueden verse afectadas.

Reparación

Los clientes con un contrato de mantenimiento vigente deben realizar la actualización a la versión 9.8 de Desktop and Laptop Option (DLO).
Consulte el Centro de descargas de Veritas para ver las actualizaciones disponibles: https://www.veritas.com/support/es_ES/downloads

Preguntas

Si tiene preguntas o problemas relacionados con estas vulnerabilidades, contáctese con el Soporte técnico de Veritas (https://www.veritas.com/support/es_ES)

Reconocimiento

Veritas desea agradecer a Ahmed Ibrahim de Buguard por notificarnos de esta vulnerabilidad.

Renuncia de responsabilidad

EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL ESTÁ", Y SE RENUNCIA A LA RESPONSABILIDAD POR TODAS LAS CONDICIONES, LAS REPRESENTACIONES Y LAS GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA TODA GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN DETERMINADO O NO INFRACCIÓN, SALVO EN LA MEDIDA EN QUE TALES RENUNCIAS DE RESPONSABILIDAD CAREZCAN DE VALIDEZ LEGAL. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE POR LOS DAÑOS ACCIDENTALES O INDIRECTOS RELACIONADOS CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN INCLUIDA EN ESTE DOCUMENTO ESTÁ SUJETA A MODIFICACIÓN SIN PREVIO AVISO.

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054