Vulnerabilidade no upload de arquivos do Veritas eDiscovery Platform

VTS23-020

Vulnerabilidade no upload de arquivos do Veritas eDiscovery Platform

Histórico de revisões

1.0: 12 de fevereiro de 2024: versão inicial
1.1: 22 de fevereiro de 2024: inclusão do ID da CVE

Resumo

Foi detectada uma vulnerabilidade na versão 10.2.4 e em versões anteriores do Veritas eDiscovery Platform, que permitia que o administrador de um aplicativo fizesse o upload de arquivos potencialmente maliciosos em locais arbitrários no servidor em que o aplicativo está instalado.

Problema

ID da CVE: CVE-2024-27283

Gravidade: Alta

Pontuação básica do CVSS v3.1: 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

CWE-434: Upload de arquivos sem restrição com tipo perigoso

Pré-requisitos

Um usuário com a função "Gerente de sistemas" acessa o aplicativo do eDiscovery Platform na Web.

Versões afetadas

Versões 10.1, 10.2, 10.2.1, 10.2.2, 10.2.3 e 10.2.4 do Veritas eDiscovery Platform. Versões anteriores não suportadas do Veritas eDiscovery Platform também podem ser afetadas.

Correção

Os clientes cobertos por um contrato de manutenção atual devem atualizar o NetBackup Snapshot Manager da seguinte forma:

Para versões 10.1, faça o upgrade para a 10.2 e aplique a atualização 10.2.5.
Para versões 10.2.x, aplique a atualização 10.2.5.

Consulte o Veritas Download Center para saber quais atualizações estão disponíveis: https://www.veritas.com/support/pt_BR/downloads

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054