修订版
- 1.0:2020 年 10 月 14 日,初始版
摘要
APTARE 版本 10.5 修复了一些安全问题。建议 Veritas 客户将 APTARE 软件更新到最新的 10.5 版本。
问题
问题 1
绕过授权
- CVE ID:CVE-2020-27156
- 严重性:严重
- CVSS v3.1 基础评分:9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
10.5 之前的 APTARE 版本无法执行充分的授权检查。此漏洞允许未经身份验证的用户远程执行代码。
问题 2
身份验证缺陷 - 绕过登录流程
- CVE ID:CVE-2020-27157
- 严重性:高
- CVSS v3.1 基础评分:8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
10.5 之前的 APTARE 版本包含的代码会在向服务器提供特定的身份验证凭据时绕过正常的登录过程。未经身份验证的用户可以登录应用程序,并获取仅限目标用户帐户可以访问的数据及功能的访问权限。