VTS24-010

Veritas Data Insight a reflété une vulnérabilité de type « Cross Site Scripting » (XSS)

Historique des révisions

  • 1.0 : 25 septembre 2024 : version initiale

Résumé

Une vulnérabilité a été découverte dans Veritas Data Insight 7.0.1 et versions antérieures.  Elle permet à un attaquant distant d'injecter un script web arbitraire dans une demande HTTP qui pourrait renvoyer à un utilisateur authentifié sans nettoyage en cas d'exécution par cet utilisateur.

Problème

ID CVE : CVE-2024-47854
Gravité : moyenne
Score de base CVSS v3.1 : 6,1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
CWE-79 : neutralisation incorrecte de l'entrée durant la génération de la page web (« Cross-Site Scripting »)

Conditions préalables

Dans le cadre de cette attaque, il est obligatoire que la cible soit connectée en tant qu'utilisateur de l'application Veritas Data Insight et envoie la demande malveillante à l'application.

Versions affectées

Veritas Data Insight versions 6.0, 6.1, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.2, 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0 et 7.0.1.

Remédiation

Les clients liés par un contrat de maintenance en cours doivent passer à Data Insight version 7.1.

Consultez le Centre de téléchargement Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads

Remerciements

Veritas tient à remercier Mario Tesoro d'avoir signalé cette vulnérabilité.

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE.  VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION.  LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054