Vulnerabilidade Scripts entre Sites refletida no Veritas Desktop and Laptop Option (DLO)

Histórico de Revisões

• 1:0: 05 de setembro de 2022: versão inicial
• 1.1: 11 de outubro de 2022: ID do CVE adicionado

Resumo

Uma vulnerabilidade Scripts entre Sites refletida foi encontrada no Desktop and Laptop Option (DLO)

Problema

• ID do CVE: CVE-2022-41319
• Gravidade: Média
• Pontuação básica do CVSS v3.1: 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Resumo

Uma vulnerabilidade Scripts entre Sites refletida afeta a página de login do Desktop and Laptop Option (DLO). Essa falha permite que invasores remotos não autenticados injetem scripts da Web arbitrários no parâmetro HTTP que reflete a entrada do usuário sem sanitização, devido à Neutralização indevida de entradas durante a geração de páginas da Web(CWE-79).

Endpoints afetados

• https://{Host}/DLOServer/restore/login.jsp

Versões afetadas

Veritas Desktop and Laptop Option (DLO) versões 9.7, 9.6, 9.5, 9.4, 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1. Versões anteriores não suportadas também podem ser afetadas.

Correção

Clientes com um contrato de manutenção atual podem fazer a atualização para a Versão 9.8 do Desktop and Laptop Option (DLO).
Consulte o Veritas Download Center para ver quais são as atualizações disponíveis: https://www.veritas.com/support/pt_BR/downloads

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR)

Agradecimento

A Veritas gostaria de agradecer a Ahmed Ibrahim, da Buguard, por ter notificado essa vulnerabilidade.

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054