Veritas Data Insight 反射型跨站脚本攻击 (XSS) 漏洞

修订历史记录

• 1.0：2024 年 9 月 25 日：初始版

摘要

在 Veritas Data Insight 版本 7.0.1 及之前的版本中发现了漏洞。该漏洞允许远程攻击者将任意 Web 脚本注入 HTTP 请求，如果该请求由经过身份验证的用户执行，则可以在不进行净化的情况下反射回该用户。

问题

CVE ID：CVE-2024-47854
严重性：中等
CVSS v3.1 基础评分 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
CWE-79：在网页生成期间，对输入进行不当抵御（“跨站脚本攻击”）

前提条件

以 Veritas Data Insight 应用程序用户的身份登录，并完成向应用程序发送恶意请求的操作的用户才会成为攻击目标。

受影响的版本

Veritas Data Insight 版本 6.0、6.1、6.1.1、6.1.2、6.1.3、6.1.4、6.1.5、6.1.6、6.2、6.3、6.3.1、6.4、6.4.1、6.5、6.5.1、6.5.2、6.6、6.6.1、6.6.2、7.0 和 7.0.1

补救措施

签订了现行维护合同的客户应升级至 Data Insight 版本 7.1

有关可用更新，请查看 Veritas 下载中心：https://www.veritas.com/support/zh_CN/downloads

鸣谢

Veritas 衷心感谢 Mario Tesoro 告知我们此漏洞。

问题

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC
2625 Augustine Drive
Santa Clara, CA 95054