Arctera Data Insight SQL 注入 （SQLi） 漏洞

修订历史记录

• 1.0：2024 年 12 月 16 日：初始版本
• 1.1：2025 年 1 月 2 日：添加了 CVE_ID

总结

在 Arctera Data Insight 7.1及早期版本中发现一个漏洞。 该漏洞允许攻击者修改 SQL 查询的语法应用程序的管理功能之一。这可能导致攻击者能够在后端数据库上提交任意 SQL 命令，以创建、读取、更新或删除存储在数据库中的数据。

问题

CVE 编号：CVE-2024-46542
严重程度：中等
CVSS v3.1 基本分数 6.5（AV：N/AC：L/PR：H/UI：N/S：U/C：H/I：H/A：N）
CWE-89：对 SQL 命令中使用的特殊元素的不当中和（“SQL 注入”）

先决条件

攻击者需要具有应用程序管理员角色，该角色允许通过 Web 控制台浏览数据库。

受影响的版本

Arctera Data Insight 版本6.3、6.3.1、6.4、6.4.1、6.5、6.5.1、6.5.2、6.6、6.6.1、6.6.2、7.0、7.0.1 和 7.1。早期不受支持的 Veritas Data Insight 版本也可能受到影响。

修复

当前维护合同下的客户应升级到 Data Insight 版本 7.1.1。

请参阅下载中心以获取可用更新：https://www.veritas.com/support/zh_CN/downloads

确认

Arctera 在此感谢 Mario Tesoro 通知我们此漏洞。

问题

有关这些漏洞的问题，请联系 Arctera 技术支持 （https://www.arctera.io/support).

免責聲明

安全建议按“原样”提供，所有明示或暗示的条件、陈述和保证，包括对适销性、特定用途适用性或不侵权的任何暗示保证，均不予否认，除非此类免责声明被认定为在法律上无效。 VERITAS TECHNOLOGIES LLC 不对与提供、执行或使用本文档有关的附带或间接损害负责。 本文档中包含的信息如有更改，恕不另行通知。

Arctera 美国有限责任公司
6200 Stoneridge Mall Road，Suite 150
加利福尼亚州普莱森顿 94588