شرکت Veeam چند بهروزرسانی امنیتی برای برطرف کردن چهار نقص امنیتی در پلتفرم ONE IT monitoring and analytics خود منتشر کرد که دو تا از آنها دارای شدت بحرانی میباشند. آسیبپذیری با شناسه CVE-2023-38547 و امتیاز 9.9 در سیستم CVSS v3.1 به مهاجمان اجاز میدهد بدون تصدیق هویت اطلاعاتی در مورد اتصال SQL server به دست آورند که Veeam ONE از آن برای دسترسی به پایگاه داده پیکربندی خود استفاه میکند. این نقص میتواند در نهایت منجر به اجرای کد از راه دور در سرور SQL شود که پایگاه داده پیکربندی در آن میزبانی میشود. این آسیبپذیری نسخههای 11، 11a و 12 نرمافزار Veeam ONE را تحت تاثیر قرار میدهد. آسیبپذیری با شناسه CVE-2023-38548 و شدت 9.8 در سیستم CVSS v3.1 به یک کاربر غیر مجاز که به Veeam ONE Web Client دسترسی دارد اجازه میدهد هش NTLM حساب کاربری استفاده شده توسط Veeam ONE Reporting Service را به دست آورد. این آسیبپذیری نسخه 12 نرمافزار Veeam ONE را تحت تاثیر قرار میدهد. آسیبپذیری باشناسه CVE-2023-38549 و شدت 4.5 در سیستم CVSS v3.1 در Veeam ONE کشف شده که به یک کاربر با نقش Veeam ONE Power User اجازه دسترسی به توکن یک کاربر با نقش Veeam ONE Administrator از طریق بهرهبرداری از XSS را میدهد. بهرهبرداری از این آسیبپذیری نیاز به تعامل کاربری با نقش Veeam ONE Administrator دارد. این آسیبپذیری نسخههای 11، 11a و 12 نرمافزار Veeam ONE را تحت تاثیر قرار میدهد.
آسیبپذیری با شناسه CVE-2023-41723 و شدت 4.3 در سیستم CVSS v3.1 به یک کاربر با نقش Veeam ONE Read-Only اجازه مشاهده Dashboard Schedule را میدهد. این آسیبپذیری نسخههای 11، 11a و 12 نرمافزار Veeam ONE را تحت تاثیر قرار میدهد. در طی ماههای گذشته نیز برخی نقصهای امنیتی بحرانی در نرمافزار Veeam backup توسط مهاجمان برای انتشار بدافزار مورد سوء استفاده قرار گرفته است. کاربرانی که از نسخههای آسیبپذیر استفاده میکنند بهتر است سرویسهای Veeam ONE Monitoring and Reporting را متوقف کرده، و فایلهای hotfix منتشر شده را نصب نمایند.
روش برطرف سازی
یک hotfix برای برطرف کردن این آسیبپذیریها در نسخههای زیر در دسترس است:
منابع خبر
- 17