VTS24-013

Vulnerabilità di cross-site scripting in Veritas Enterprise Vault

Cronologia delle revisioni

  • 1.0: 12 novembre 2024: versione iniziale
  • 2.0: 19 novembre 2024: Aggiunto ID CVE

Sommario

È stata rilevata una vulnerabilità in Veritas Enterprise Vault versione 15.1 e precedenti. Consente a un utente malintenzionato remoto autenticato di inserire un parametro in una richiesta HTTP, consentendo il Cross-Site Scripting durante la visualizzazione del contenuto archiviato. Ciò potrebbe riflettersi su un utente autenticato senza sanificazione se eseguito da tale utente.

  Descrizione del problema Severità Identificatore CVE ID

1

Vulnerabilità legata al cross-site scripting

Medio

ZDI-CAN-24695

CVE-2024-52941

2

Vulnerabilità legata al cross-site scripting

Medio

ZDI-CAN-24696

CVE-2024-52942

3

Vulnerabilità legata al cross-site scripting

Medio

ZDI-CAN-24697

CVE-2024-52943

4

Vulnerabilità legata al cross-site scripting

Medio

ZDI-CAN-24698

CVE-2024-52944

 

Questione

ID CVE: vedi sopra
Gravità: Media
CVSS v3.1 Punteggio base 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Neutralizzazione impropria dell'input durante la generazione di pagine Web ('Cross-site Scripting')

Versioni interessate

Tutte le versioni attualmente supportate delle versioni di Enterprise Vault: 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.2, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0. Anche le versioni precedenti non supportate potrebbero essere interessate.

Bonifica

Utilizzare i seguenti collegamenti per ottenere le patch di sicurezza create per le versioni 14.5.2, 15.0 e 15.1. Consultare il file Leggimi per la procedura di installazione dettagliata e assicurarsi che queste patch vengano applicate a tutti i server Enterprise Vault nell'ambiente. Si consiglia ai clienti che utilizzano versioni precedenti del prodotto di pianificare gli aggiornamenti di conseguenza.

Enterprise Vault 14.5.2 - Correzioni delle vulnerabilità di cross-site scripting

https://www.veritas.com/support/it_IT/downloads/update.UPD287322

Enterprise Vault 15.0.2 - Correzioni di vulnerabilità di cross-site scripting

https://www.veritas.com/support/it_IT/downloads/update.UPD368184

Enterprise Vault 15.1 - Correzioni delle vulnerabilità di cross-site scripting

https://www.veritas.com/support/it_IT/downloads/update.UPD882911

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare l'assistenza tecnica Veritas (https://www.veritas.com/support)

Riconoscimento

Veritas desidera ringraziare Sina Kheirkhah che collabora con Zero Day Initiative (ZDI) di Trend Micro per averci segnalato queste vulnerabilità.

Disconoscimento

L'AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI, LE DICHIARAZIONI E LE GARANZIE ESPLICITE O IMPLICITE, INCLUSA QUALSIASI GARANZIA IMPLICITA DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO PARTICOLARE O NON VIOLAZIONE, SONO ESCLUSE, SALVO NELLA MISURA IN CUI TALI ESCLUSIONI DI RESPONSABILITÀ SIANO RITENUTE LEGALMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON SARÀ RESPONSABILE PER DANNI ACCIDENTALI O CONSEQUENZIALI IN RELAZIONE ALLA FORNITURA, ALLE PRESTAZIONI O ALL'USO DI QUESTA DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE IN QUESTA DOCUMENTAZIONE SONO SOGGETTE A MODIFICHE SENZA PREAVVISO.

Veritas Tecnologie LLC
2625 Strada di Agostino
Santa Clara, CA 95054