Veeam informe ses utilisateurs de deux vulnérabilités critiques et deux vulnérabilités moyennes dans Veeam One pour lesquelles des correctifs sont déjà disponibles. Les lacunes critiques ont une valeur CVSS v3 de 9.9 et 9.8 sur 10. Les responsables doivent donc agir immédiatement.
Les vulnérabilités portant le code CVE-2023-38547 et CVE-2023-38548 décrivent un niveau de danger élevé dans Veeam ONE. Les versions suivantes sont concernées :
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Deux vulnérabilités critiques dans Veeam One
La première vulnérabilité CVE-2023-38547 avec un CVSS v3.1 : 9.9 dans Veeam ONE permet à un utilisateur non authentifié d'obtenir des informations sur la connexion SQL Server que Veeam ONE utilise pour accéder à sa base de données de configuration. Cela peut conduire à l’exécution de code à distance sur le serveur SQL qui héberge la base de données de configuration Veeam ONE.
La deuxième vulnérabilité CVE-2023-38548 avec score CVSS v3.1 : 9.8 dans Veeam ONE permet à un utilisateur non privilégié ayant accès au client Web Veeam ONE d'avoir la possibilité de voler le hachage NTLM du fichier utilisé par Veeam ONE Reporting. Service pour récupérer le compte.
Les deux vulnérabilités moyennes CVE-2023-38549 et CVE-2023-41723 ont un score CVSS v3.1 de 4.5 et 4.3 et devraient également être corrigées. Ils présentent les vulnérabilités suivantes : Une vulnérabilité dans Veeam ONE permet à un utilisateur doté du rôle Veeam ONE Power User d'obtenir le jeton d'accès d'un utilisateur doté du rôle Veeam ONE Administrator via XSS. La deuxième vulnérabilité permet à un utilisateur de Veeam ONE avec le rôle d'utilisateur Veeam ONE en lecture seule d'afficher la planification du tableau de bord.
Notes de version spéciales pour Veeam Recovery Orchestrator
Veeam One est un composant de Veeam Recovery Orchestrator – anciennement connu sous le nom de Veeam Disaster Recovery Orchestrator ou Veeam Availability Orchestrator. Les clients utilisant les versions suivantes d’Orchestrator doivent installer le correctif de build Veeam ONE intégré à partir de cet article.
- Veeam Recovery Orchestrator 6 P20230419 utilise Veeam ONE 12 P20230314 (Construire 12.0.1.2591).
Remarque: Veeam Recovery Orchestrator 6 GA est livré avec Veeam ONE 12.0.0.2498, qui n'est pas compatible avec ce correctif. Vérifiez quelle version de Veeam ONE est installée ; Si 12.0.0.2498 est installé, mettre à jour Veeam Recovery Orchestrator comme documenté dans la base de connaissances KB4437 . - Veeam Disaster Recovery Orchestrator 5 utilise Veeam ONE 11a (Construire 11.0.1.1880)
- Veeam Availability Orchestrator 4 utilise Veeam ONE 11 (Construire 11.0.0.1379)
À propos de Veeam Veeam offre aux entreprises la résilience grâce à la sécurité des données, la récupération des données et la liberté des données pour leur cloud hybride. Veeam Data Platform offre une solution unique pour les environnements cloud, virtuels, physiques, SaaS et Kubernetes, donnant aux entreprises la certitude que leurs applications et leurs données sont protégées et toujours disponibles pour assurer le bon fonctionnement de leur entreprise.