Veeam está informando a sus usuarios sobre dos vulnerabilidades críticas y dos medianas en Veeam One para las cuales ya hay parches disponibles. Los fallos críticos tienen un valor CVSS v3 de 9.9 y 9.8 sobre 10. Por tanto, los responsables deberían actuar de inmediato.
Las vulnerabilidades con el código CVE-2023-38547 y CVE-2023-38548 describen un alto nivel de peligro en Veeam ONE. Las siguientes versiones se ven afectadas:
- Veeam UNO 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam UNO 11 (11.0.0.1379)
Dos vulnerabilidades críticas en Veeam One
La primera vulnerabilidad CVE-2023-38547 con un CVSS v3.1:9.9 en Veeam ONE permite a un usuario no autenticado obtener información sobre la conexión de SQL Server que utiliza Veeam ONE para acceder a su base de datos de configuración. Esto puede llevar a la ejecución remota de código en el servidor SQL que aloja la base de datos de configuración de Veeam ONE.
La segunda vulnerabilidad CVE-2023-38548 con puntuación CVSS v3.1: 9.8 en Veeam ONE permite a un usuario sin privilegios que tiene acceso a Veeam ONE Web Client tener la capacidad de robar el hash NTLM del archivo utilizado por Veeam ONE Reporting. Servicio para recuperar la cuenta.
Las dos vulnerabilidades medianas CVE-2023-38549 y CVE-2023-41723 tienen una puntuación CVSS v3.1 de 4.5 y 4.3 y también deberían parchearse. Tienen las siguientes vulnerabilidades: Una vulnerabilidad en Veeam ONE permite a un usuario con el rol Veeam ONE Power User obtener el token de acceso de un usuario con el rol Veeam ONE Administrator a través de XSS. La segunda vulnerabilidad permite a un usuario de Veeam ONE con el rol de usuario de solo lectura de Veeam ONE ver la programación del panel.
Notas de versión especiales para Veeam Recovery Orchestrator
Veeam One es un componente de Veeam Recovery Orchestrator, anteriormente conocido como Veeam Disaster Recovery Orchestrator o Veeam Availability Orchestrator. Los clientes que utilicen las siguientes versiones de Orchestrator deben instalar la revisión integrada de Veeam ONE de este artículo.
- Veeam Recovery Orchestrator 6 P20230419 utiliza Veeam ONE 12 P20230314 (Compilación 12.0.1.2591).
Nota: Veeam Recovery Orchestrator 6 GA se entrega con Veeam ONE 12.0.0.2498, que no es compatible con esta revisión. Compruebe qué versión de Veeam ONE está instalada; Si está instalado 12.0.0.2498, actualice Veeam Recovery Orchestrator como se documenta en KB4437 . - Veeam Disaster Recovery Orchestrator 5 utiliza Veeam ONE 11a (Build 11.0.1.1880)
- Veeam Availability Orchestrator 4 utiliza Veeam ONE 11 (Build 11.0.0.1379)
Acerca de Veeam Veeam ofrece resiliencia a las empresas a través de la seguridad de los datos, la recuperación de datos y la libertad de datos para su nube híbrida. Veeam Data Platform ofrece una solución única para entornos en la nube, virtuales, físicos, SaaS y Kubernetes, lo que brinda a las empresas la confianza de que sus aplicaciones y datos están protegidos y siempre disponibles para mantener sus negocios en funcionamiento.