修订历史记录

• 1.0：2024 年 2 月 12 日：初始版本
• 1.1：2024 年 2 月 22 日：增加了 CVE ID

摘要

在 Veritas eDiscovery Platform 版本 10.2.4 及之前的版本中发现了一个漏洞，该漏洞允许应用程序管理员将可能的恶意文件上传至应用程序在其上安装的服务器上的任意位置。

问题

CVE ID：CVE-2024-27283

严重性：高

CVSS v3.1 基础评分 7.2 (AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)

CWE-434：不限制上传危险类型的文件

前提条件

拥有“系统管理员”角色的用户可以访问 eDiscovery Platform Web 应用程序。

受影响的版本

Veritas eDiscovery Platform 版本 10.1、10.2、10.2.1、10.2.2、10.2.3、10.2.4。Veritas eDiscovery Platform 不受支持的早期版本可能也会受到影响。

补救措施

持有当前维护合同的客户应如下所示更新 Veritas eDiscovery Platform：

• 对于版本 10.1，请升级至 10.2 并应用 10.2.5 更新。
• 对于版本 10.2.x，请应用 10.2.5 更新。

有关可用更新，请查看 Veritas 下载中心：https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054