VTS24-010

Vulnerabilidade refletida de Cross Site Scripting (XSS) do Veritas Data Insight

Histórico de revisões

  • 1.0: 25 de setembro de 2024: versão inicial

Resumo

Uma vulnerabilidade foi descoberta nas versões 7.0.1 e anteriores do Veritas Data Insight.  Ela permite que um invasor remoto injete um script web arbitrário em uma solicitação HTTP que pode ser refletido de volta para um usuário autenticado sem higienização se executado por esse usuário.

Problema

ID do CVE: CVE-2024-47854
Gravidade: Média
Pontuação básica do CVSS v3.1 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Neutralização indevida de entradas durante a geração de páginas da Web (‘Ataque de Scripts entre Sites')

Pré-requisitos

É necessário que o alvo deste ataque esteja conectado como usuário do aplicativo Veritas Data Insight e conclua o envio da solicitação maliciosa ao aplicativo.

Versões afetadas

Veritas Data Insight versões 6.0, 6.1, 6.1.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5, 6.1.6, 6.2, 6.3, 6.3.1, 6.4, 6.4.1, 6.5, 6.5.1, 6.5.2, 6.6, 6.6.1, 6.6.2, 7.0, e 7.0.1.

Correção

Os clientes com um contrato de manutenção atual devem atualizar para o Data Insight versão 7.1.

Consulte o Veritas Download Center para saber quais atualizações estão disponíveis:  https://www.veritas.com/support/pt_BR/downloads

Agradecimento

A Veritas gostaria de agradecer a Mario Tesoro por ter notificado essa vulnerabilidade.

Dúvidas

Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o Suporte Técnico da Veritas (https://www.veritas.com/support/pt_BR).

Isenção de Responsabilidade

O COMUNICADO DE SEGURANÇA É FORNECIDO NA FORMA COMO ESTÁ E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPLÍCITAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIABILIDADE, ADEQUAÇÃO A UM FIM ESPECÍFICO OU NÃO VIOLAÇÃO, SÃO RENUNCIADAS, SALVO QUANDO ESSAS ISENÇÕES DE RESPONSABILIDADE SÃO CONSIDERADAS LEGALMENTE INVÁLIDAS.  A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSABILIZADA POR DANOS ACIDENTAIS OU CONSEQUENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO.  AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM NOTIFICAÇÃO PRÉVIA.

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054