VTS24-013
Vulnerabilidades de cross-site scripting no Veritas Enterprise Vault
Histórico de revisões
- 1.0: 12 de novembro de 2024: Versão inicial
- 2.0: 19 de novembro de 2024: ID CVE adicionado
Resumo
Uma vulnerabilidade foi identificada, nas versões 15.1 e anteriores do Veritas Enterprise Vault. Essa vulnerabilidade permite que um invasor remotamente autenticado insira um parâmetro em uma solicitação HTTP, possibilitando um ataque de Cross-Site Scripting ao visualizar conteúdo arquivado. Esse comportamento pode refletir para um usuário autenticado caso não haja sanitização adequada.
| Descrição do problema | Severidade | Identificador | CVE ID | |
|---|---|---|---|---|
1 |
Vulnerabilidade de Cross-Site Scripting |
Média |
ZDI-CAN-24695 |
|
2 |
Vulnerabilidade de Cross-Site Scripting |
Média |
ZDI-CAN-24696 |
|
3 |
Vulnerabilidade de Cross-Site Scripting |
Média |
ZDI-CAN-24697 |
|
4 |
Vulnerabilidade de Cross-Site Scripting |
Média |
ZDI-CAN-24698 |
Questão
ID CVE: Veja acima
Gravidade: Média
Pontuação básica do CVSS v3.1: 5.4 (AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N)
CWE-79: Neutralização inadequada de entrada durante a geração de páginas da Web ('Cross-site Scripting')
Versões afetadas
Todas as versões atualmente suportadas do Enterprise Vault: 15.1, 15.0, 15.0.1, 15.0.2, 14.5, 14.5.2, 14.5.1, 14.4, 14.4.1, 14.4.2, 14.3, 14.3.1, 14.3.2, 14.2, 14.2.3, 14.2.2, 14.2.1, 14.1.3, 14.1.2, 14.1.1, 14.1, 14.0.1, 14.0. Versões anteriores sem suporte também podem ser afetadas.
Remediação
Utilize os links a seguir para acessar os patches de segurança para as versões 14.5.2, 15.0 e 15.1. Revise o arquivo Read Me para obter instruções detalhadas de instalação e certifique-se de que os patches sejam aplicados a todos os servidores do Enterprise Vault no ambiente.
Clientes com versões mais antigas do produto são aconselhados a planejar atualizações conforme necessário.
Enterprise Vault 14.5.2 - Correções de vulnerabilidades de script entre sites
https://www.veritas.com/support/pt_BR/downloads/update.UPD287322
Enterprise Vault 15.0.2 - Correções de vulnerabilidades de script entre sites
https://www.veritas.com/support/pt_BR/downloads/update.UPD368184
Enterprise Vault 15.1 - Correções de vulnerabilidades de script entre sites
https://www.veritas.com/support/pt_BR/downloads/update.UPD882911
Perguntas
Em caso de dúvidas ou problemas relacionados a essas vulnerabilidades, entre em contato com o suporte técnico da Veritas (https://www.veritas.com/support)
Reconhecimento
A Veritas agradece a Sina Kheirkhah, da Zero Day Initiative (ZDI) da Trend Micro, pela notificação sobre essas vulnerabilidades.
Disclaimer
O AVISO DE SEGURANÇA É FORNECIDO "NO ESTADO EM QUE SE ENCONTRA" E TODAS AS CONDIÇÕES, REPRESENTAÇÕES E GARANTIAS EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER GARANTIA IMPLÍCITA DE COMERCIALIZAÇÃO, ADEQUAÇÃO A UM DETERMINADO FIM OU NÃO VIOLAÇÃO, SÃO REJEITADAS, EXCETO NA MEDIDA EM QUE TAIS ISENÇÕES DE RESPONSABILIDADE SEJAM CONSIDERADAS LEGALMENTE INVÁLIDAS. A VERITAS TECHNOLOGIES LLC NÃO SERÁ RESPONSÁVEL POR DANOS INCIDENTAIS OU CONSEQÜENCIAIS RELACIONADOS AO FORNECIMENTO, DESEMPENHO OU USO DESTA DOCUMENTAÇÃO. AS INFORMAÇÕES CONTIDAS NESTA DOCUMENTAÇÃO ESTÃO SUJEITAS A ALTERAÇÕES SEM AVISO PRÉVIO.
Veritas Technologies LLC
2625 Agostinho Drive
Santa Clara, CA 95054