VTS24-013
Veritas Enterprise Vault의 크로스 사이트(Cross-Site) 스크립팅 취약점
개정 내역
- 1.0: 2024년 11월 12일: 초기 버전
- 2.0: 2024년 11월 19일: CVE ID 추가됨
요약
Veritas Enterprise Vault 버전 15.1 및 이전 버전에서 취약점이 발견되었습니다. 이 취약점은 인증된 원격 공격자가 HTTP 요청에 매개 변수를 삽입하여 아카이브된 콘텐츠를 보는 동안 사이트간 스크립팅을 수행할 수 있도록 허용합니다. 인증된 사용자가 이를 실행할 경우 안전한 처리 없이 인증된 사용자에게 다시 반영될 수 있습니다.
| 문제 설명 | 심각도 | 식별자 | CVE ID | |
|---|---|---|---|---|
1 |
교차 사이트 스크립팅(Cross-Site Scripting) 취약성 |
보통 |
ZDI-CAN-24695 |
|
2 |
교차 사이트 스크립팅 취약성 |
보통 |
ZDI-CAN-24696 |
|
3 |
교차 사이트 스크립팅 취약성 |
보통 |
ZDI-CAN-24697 |
|
4 |
교차 사이트 스크립팅 취약성 |
보통 |
ZDI-CAN-24698 |
문제
CVE ID: 위 테이블 CVE ID 컬럼 참조
심각도: 중간
CVSS v3.1 기본 점수 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
CWE-79: 웹 페이지 생성 중 입력의 부적절한 무력화('크로스 사이트 스크립팅')
영향을 받는 버전
현재 지원되는 모든 Enterprise Vault 버전: 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0. 지원되지 않는 이전 버전도 영향을 받을 수 있습니다.
조치
다음 링크를 사용하여 버전 14.5.2, 15.0 및 15.1용으로 빌드된 보안 패치를 가져옵니다. 자세한 설치 단계는 Readme를 검토하고 이러한 패치가 환경의 모든 Enterprise Vault 서버에 적용되었는지 확인하십시오. 이전 버전의 제품을 사용하는 고객은 그에 따라 업그레이드를 계획하는 것이 좋습니다.
Enterprise Vault 14.5.2 - 크로스 사이트 스크립팅 취약점 수정
https://www.veritas.com/support/ko_KR/downloads/update.UPD287322
Enterprise Vault 15.0.2 - 크로스 사이트 스크립팅 취약점 수정
https://www.veritas.com/support/ko_KR/downloads/update.UPD368184
Enterprise Vault 15.1 - 크로스 사이트 스크립팅 취약점 수정
https://www.veritas.com/support/ko_KR/downloads/update.UPD882911
질문
이러한 취약점에 대한 질문이나 문제는 베리타스 기술 지원(https://www.veritas.com/support)에 문의
고지 사항
베리타스는 이러한 취약점을 알려 주신 트렌드마이크로의 ZDI(Zero Day Initiative)와 협력하는 Sina Kheirkhah에게 감사의 말씀을 전합니다.
면책 조항
보안 권고는 "있는 그대로" 제공되며 상품성, 특정 목적에의 적합성 또는 비침해성에 대한 묵시적 보증을 포함한 모든 명시적 또는 묵시적 조건, 진술 및 보증은 그러한 면책 조항이 법적으로 유효하지 않은 경우를 제외하고 부인됩니다. VERITAS TECHNOLOGIES LLC는 이 문서의 제공, 성능 또는 사용과 관련된 우발적 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서에 포함된 정보는 예고 없이 변경될 수 있습니다.
베리타스 테크놀로지스 LLC
2625 어거스틴 드라이브
산타 클라라, CA 95054