Arctera Data Insight SQLi(SQL Injection) 취약점

개정 내역

• 1.0: 2024년 12월 16일: 초기 버전
• 1.1: 2025년 1월 2일: CVE_ID 추가됨

요약

Arctera Data Insight 7.1, 그리고 그 이전 버전에서 취약점이 발견되었습니다.  이 취약점은 공격자가 애플리케이션중 하나의 관리 기능에서 SQL 쿼리의 구문을 수정할 수 있도록 합니다. 이로 인해 공격자는 백 엔드 데이터베이스에서 임의의 SQL 명령을 제출하여 데이터베이스에 저장된 데이터를 생성, 읽기, 업데이트 또는 삭제할 수 있습니다. 

이슈

CVE ID: CVE-2024-46542

심각도: 중

CVSS v3.1 기본 점수 6.5 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)

CWE-89: SQL 명령에 사용된 특수 요소의 부적절한 무력화('SQL 인젝션')

전제 조건

공격자가 웹 콘솔을 통해 데이터베이스를 탐색할 수 있는 애플리케이션 관리자 역할을 가지고 있어야 합니다.

영향을 받는 버전

Arctera Data Insight 버전 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, 7.0.1 및 7.1. 

더이상 지원이 되지 않는 이전 버전의 Veritas Data Insight도 영향을 받을 수 있습니다.

해결 방법

현재 유지 보수 계약을 체결한 고객은 Data Insight 버전 7.1.1로 업그레이드해야 합니다.

사용 가능한 업데이트에 대해서는 다운로드 센터를 참조하십시오. https://www.veritas.com/support/ko_KR/downloads

감사의 말씀

Arctera는 이 취약점을 알려 주신 Mario Tesoro에게 감사의 뜻을 전합니다.

질문 또는 질의사항

이러한 취약점에 대한 질문이나 문제가 있는 경우 Arctera 기술 지원팀에 문의하십시오.(https://www.arctera.io/support).

면책 조항

보안 권고는 "있는 그대로" 제공되며 상품성, 특정 목적에의 적합성 또는 비침해성에 대한 묵시적 보증을 포함한 모든 명시적 또는 묵시적 조건, 진술 및 보증은 그러한 면책 조항이 법적으로 유효하지 않은 경우를 제외하고 부인됩니다.  VERITAS TECHNOLOGIES LLC는 이 문서의 제공, 성능 또는 사용과 관련된 우발적 또는 결과적 손해에 대해 책임을 지지 않습니다.  이 문서에 포함된 정보는 예고 없이 변경될 수 있습니다.

아크테라 미국 LLC
6200 스톤리지 몰 로드, 스위트 150
플레젠튼, CA 94588