VTS24-013
Vulnerabilidades de secuencias de comandos entre sitios en Veritas Enterprise Vault
Historial de revisiones
- 1.0: 12 de noviembre de 2024: Versión inicial
- 2.0: 19 de noviembre de 2024: Se agregó el ID de CVE
Resumen
Se descubrió una vulnerabilidad en las versiones 15.1 y anteriores de Veritas Enterprise Vault. Permite a un atacante remoto autenticado inyectar un parámetro en una solicitud HTTP, lo que permite el scripting entre sitios mientras visualiza el contenido archivado. Esto podría reflejarse en un usuario autenticado sin saneamiento si lo ejecuta ese usuario.
| Descripción del problema | Severidad | Identificador | CVE ID | |
|---|---|---|---|---|
1 |
Vulnerabilidad de secuencias de comandos entre sitios |
Medio |
ZDI-CAN-24695 |
|
2 |
Vulnerabilidad de secuencias de comandos entre sitios |
Medio |
ZDI-CAN-24696 |
|
3 |
Vulnerabilidad de secuencias de comandos entre sitios |
Medio |
ZDI-CAN-24697 |
|
4 |
Vulnerabilidad de secuencias de comandos entre sitios |
Medio |
ZDI-CAN-24698 |
Emitir
ID de CVE: Véase más arriba
Gravedad: Media
CVSS v3.1 Puntuación base 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Neutralización Inadecuada de la Entrada Durante la Generación de Páginas Web ('Cross-site Scripting')
Versiones afectadas
Todas las versiones compatibles actualmente de las versiones de Enterprise Vault: 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.2, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0. Las versiones anteriores no compatibles también pueden verse afectadas.
Remediación
Utilice los siguientes enlaces para obtener los parches de seguridad creados para las versiones 14.5.2, 15.0 y 15.1. Revise el archivo Léame para ver los pasos detallados de la instalación y asegúrese de que estos parches se apliquen a todos los servidores de Enterprise Vault del entorno. Se recomienda a los clientes que utilicen versiones anteriores del producto que planifiquen sus actualizaciones en consecuencia.
Enterprise Vault 14.5.2 - Correcciones de vulnerabilidades de secuencias de comandos entre sitios
https://www.veritas.com/support/es_ES/downloads/update.UPD287322
Enterprise Vault 15.0.2 - Correcciones de vulnerabilidades de secuencias de comandos entre sitios
https://www.veritas.com/support/es_ES/downloads/update.UPD368184
Enterprise Vault 15.1 - Correcciones de vulnerabilidades de secuencias de comandos entre sitios
https://www.veritas.com/support/es_ES/downloads/update.UPD882911
Preguntas
Si tiene preguntas o problemas relacionados con estas vulnerabilidades, póngase en contacto con el soporte técnico de Veritas (https://www.veritas.com/support)
Reconocimiento
Veritas desea agradecer a Sina Kheirkhah, que trabaja con Zero Day Initiative (ZDI) de Trend Micro, por notificarnos estas vulnerabilidades.
Renuncia
EL AVISO DE SEGURIDAD SE PROPORCIONA "TAL CUAL" Y SE RENUNCIA A TODAS LAS CONDICIONES, REPRESENTACIONES Y GARANTÍAS EXPRESAS O IMPLÍCITAS, INCLUIDA CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO PARTICULAR O NO INFRACCIÓN, EXCEPTO EN LA MEDIDA EN QUE DICHAS RENUNCIAS SE CONSIDEREN LEGALMENTE INVÁLIDAS. VERITAS TECHNOLOGIES LLC NO SERÁ RESPONSABLE DE LOS DAÑOS INCIDENTALES O CONSECUENTES EN RELACIÓN CON EL SUMINISTRO, EL RENDIMIENTO O EL USO DE ESTA DOCUMENTACIÓN. LA INFORMACIÓN CONTENIDA EN ESTA DOCUMENTACIÓN ESTÁ SUJETA A CAMBIOS SIN PREVIO AVISO.
Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054