VTS24-013
Vulnérabilités de type Cross-Site Scripting dans Veritas Enterprise Vault
Historique des révisions
- 1.0 : 12 novembre 2024 : Version initiale
- 2.0 : 19 novembre 2024 : ajout de l’identifiant CVE
Résumé
Une vulnérabilité a été découverte dans les versions 15.1 et antérieures de Veritas Enterprise Vault. Il permet à un attaquant distant authentifié d’injecter un paramètre dans une requête HTTP, ce qui permet d’utiliser des scripts intersites lors de l’affichage du contenu archivé. Cela pourrait être renvoyé à un utilisateur authentifié sans nettoyage s’il est exécuté par cet utilisateur.
| Description du problème | Sévérité | Identificateur | CVE-Kennung | |
|---|---|---|---|---|
1 |
Vulnérabilité de type Cross-Site Scripting |
Moyenne |
ZDI-CAN-24695 |
|
2 |
Vulnérabilité de type Cross-Site Scripting |
Moyenne |
ZDI-CAN-24696 |
|
3 |
Vulnérabilité de type Cross-Site Scripting |
Moyenne |
ZDI-CAN-24697 |
|
4 |
Vulnérabilité de type Cross-Site Scripting |
Moyenne |
ZDI-CAN-24698 |
Problème
Identifiant CVE : voir ci-dessus
Sévérité : Moyenne
CVSS v3.1 Score de base 5.4 (AV :N/AC :L/PR :L/UI :R/S :C/C :L/I :L/A :N)
CWE-79 : Neutralisation incorrecte des entrées lors de la génération de pages Web (« Cross-site scripting »)
Versions affectées
Toutes les versions actuellement prises en charge d’Enterprise Vault : 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.2, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0. Les versions antérieures non prises en charge peuvent également être affectées.
Remédiation
Utilisez les liens suivants pour obtenir les correctifs de sécurité conçus pour les versions 14.5.2, 15.0 et 15.1. Consultez le fichier Readme pour connaître les étapes d’installation détaillées et assurez-vous que ces correctifs sont appliqués à tous les serveurs Enterprise Vault de l’environnement. Il est conseillé aux clients utilisant des versions plus anciennes du produit de planifier leurs mises à niveau en conséquence.
Enterprise Vault 14.5.2 - Correctifs de vulnérabilités de type Cross-Site Scripting
https://www.veritas.com/support/fr_FR/downloads/update.UPD287322
Enterprise Vault 15.0.2 - Correctifs de vulnérabilités de type Cross-Site Scripting
https://www.veritas.com/support/fr_FR/downloads/update.UPD368184
Enterprise Vault 15.1 - Correctifs de vulnérabilités de type Cross-Site Scripting
https://www.veritas.com/support/fr_FR/downloads/update.UPD882911
Questions
Pour toute question ou problème concernant ces vulnérabilités, veuillez contacter le support technique de Veritas (https://www.veritas.com/support)
Reconnaissance
Veritas tient à remercier Sina Kheirkhah, qui travaille avec le programme Zero Day Initiative (ZDI) de Trend Micro, de nous avoir informés de ces vulnérabilités.
Clause de non-responsabilité
L’AVIS DE SÉCURITÉ EST FOURNI « TEL QUEL » ET TOUTES LES CONDITIONS, DÉCLARATIONS ET GARANTIES EXPRESSES OU IMPLICITES, Y COMPRIS TOUTE GARANTIE IMPLICITE DE QUALITÉ MARCHANDE, D’ADÉQUATION À UN USAGE PARTICULIER OU D’ABSENCE DE CONTREFAÇON, SONT EXCLUES, SAUF DANS LA MESURE OÙ CES EXCLUSIONS SONT JUGÉES JURIDIQUEMENT INVALIDES. VERITAS TECHNOLOGIES LLC NE SERA PAS RESPONSABLE DES DOMMAGES ACCESSOIRES OU CONSÉCUTIFS LIÉS À LA FOURNITURE, À LA PERFORMANCE OU À L’UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUSCEPTIBLES D’ÊTRE MODIFIÉES SANS PRÉAVIS.
Veritas Technologies LLC
2625, promenade Augustine
Santa Clara, Californie 95054