修订历史记录

• 1.0：2023 年 7 月 12 日：初始版
• 1.1：2023 年 7 月 14 日：更新后的补救措施建议
• 1.2：2023 年 7 月 20 日：增加了 CVE ID

摘要

在 Veritas InfoScale Operations Manager (VIOM) XPRTLD Web 应用程序中发现了漏洞。

问题

VIOM XPRTLD Web 应用程序允许经过身份验证的攻击者将所有类型的文件上传到服务器中。然后，经过身份验证的攻击者可以执行恶意文件，在远程服务器上执行命令。

• CVE ID：CVE-2023-38404
• 严重性：高
• CVSS v3.1 基础评分 7.2：(AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
• CWE-434：不限制上传危险类型的文件

前提条件

攻击者必须拥有 VIOM XPRTLD Web 应用程序的管理员权限。

受影响的版本

Veritas InfoScale Operations Manager (VIOM) 版本 7.0、7.1、7.2、7.3、7.3.1、7.4、7.4.2、8.0。不受支持的早期版本可能也会受到影响。

补救措施

持有当前维护合同的客户应按照以下建议升级自己的 VIOM 环境：

• 将 Veritas InfoScale Operations Manager (VIOM) Management Server 升级为最低版本 8.0.0.410 或 8.0.2。
• 根据支持表将 VIOM 代理升级为最低版本 7.4.2.810、8.0.0.410 或 8.0.2.0。

有关可用更新，请查看 Veritas 下载中心：https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

华睿泰科技（北京）有限公司
北京市朝阳区
东大桥路 9 号侨福芳草地大厦 A 座 10 层 04-05 单元 100020