Veeam выпустила обновления для системы безопасности для устранения четырех недостатков в своей платформе мониторинга и аналитики ONE IT, два из которых оценены как критические по степени серьезности.
Список уязвимостей выглядит следующим образом -
Пользователям, использующим затронутые версии, рекомендуется остановить службы мониторинга и отчетности Veeam ONE, заменить существующие файлы файлами, предоставленными в исправлении, и перезапустить обе службы.
Список уязвимостей выглядит следующим образом -
- CVE-2023-38547 (оценка CVSS: 9,9) - неуказанная ошибка, которая может быть использована пользователем, не прошедшим проверку подлинности, для получения информации о подключении к SQL Server, которое Veeam ONE использует для доступа к своей базе данных конфигурации, что приводит к удаленному выполнению кода на SQL server.
- CVE-2023-38548 (оценка CVSS: 9,8) - Ошибка в Veeam ONE, которая позволяет непривилегированному пользователю, имеющему доступ к веб-клиенту Veeam ONE, получить хэш NTLM учетной записи, используемой службой отчетов Veeam ONE.
- CVE-2023-38549 (оценка CVSS: 4,5) - Уязвимость межсайтового скриптинга (XSS), которая позволяет пользователю с ролью опытного пользователя Veeam ONE получить токен доступа пользователя с ролью администратора Veeam ONE.
- CVE-2023-41723 (оценка CVSS: 4,3) - Уязвимость в Veeam ONE, которая позволяет пользователю с ролью пользователя Veeam ONE, доступного только для чтения, просматривать расписание панели мониторинга.
- Veeam ONE 11 (11.0.0.1379)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 12 P20230314 (12.0.1.2591)
Пользователям, использующим затронутые версии, рекомендуется остановить службы мониторинга и отчетности Veeam ONE, заменить существующие файлы файлами, предоставленными в исправлении, и перезапустить обе службы.
