修订版
- 1.0:2020 年 4 月 27 日,初始版
摘要
APTARE 版本 10.4 修复了多个安全问题。建议 Veritas 客户将 APTARE 软件更新到最新的 10.4 版本。
描述
APTARE 10.4 处理了以下安全漏洞:
| 问题 | 描述 | 严重性 | 修正版本 |
|---|---|---|---|
|
1 |
高 |
10.4 |
|
|
2 |
中等 |
10.4 |
|
|
3 |
中等 |
10.4 |
|
|
4 |
中等 |
10.4 |
问题
问题 #1
披露敏感信息
- CVE ID: CVE-2020-12874
- 严重性: 高
- CVSS v3.1 基础评分: 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
10.4 之前的 APTARE 版本允许在不进行身份验证的情况下访问敏感信息。
问题 #2
身份验证缺陷
- CVE ID: CVE-2020-12875
- 严重性: 中等
- CVSS v3.1 基础评分: 6.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N)
10.4 之前的 APTARE 版本包含的代码会在向服务器提供特定的身份验证凭据时绕过正常的登录过程。
问题 #3
绕过授权
- CVE ID: CVE-2020-12876
- 严重性: 中等
- CVSS v3.1 基础评分: 6.3 (AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)
10.4 之前的 APTARE 版本无法执行充分的授权检查。经过身份验证的用户可以通过操作应用程序中的特定参数对敏感信息或功能进行未授权的访问。
问题 #4
披露信息
- CVE ID: CVE-2020-12877
- 严重性: 中等
- CVSS v3.1 基础评分: 5.3 (AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
10.4 之前的 APTARE 版本允许远程用户访问服务器上的多个非预期文件。此漏洞仅影响 Windows 服务器的部署。