Veeam sta informando i suoi utenti su due vulnerabilità critiche e due medie in Veeam One per le quali sono già disponibili patch. Le lacune critiche hanno un valore CVSS v3 di 9.9 e 9.8 su 10. I responsabili dovrebbero quindi agire immediatamente.
Le vulnerabilità con il codice CVE-2023-38547 e CVE-2023-38548 descrivono un elevato livello di pericolo in Veeam ONE. Sono interessate le seguenti versioni:
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam UNO 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Due vulnerabilità critiche in Veeam One
La prima vulnerabilità CVE-2023-38547 con CVSS v3.1: 9.9 in Veeam ONE consente a un utente non autenticato di ottenere informazioni sulla connessione SQL Server che Veeam ONE utilizza per accedere al proprio database di configurazione. Ciò può portare all'esecuzione di codice remoto sul server SQL che ospita il database di configurazione di Veeam ONE.
La seconda vulnerabilità CVE-2023-38548 con punteggio CVSS v3.1: 9.8 in Veeam ONE consente a un utente non privilegiato che ha accesso al Veeam ONE Web Client di avere la possibilità di rubare l'hash NTLM del file utilizzato da Veeam ONE Reporting Servizio per recuperare l'account.
Le due vulnerabilità medie CVE-2023-38549 e CVE-2023-41723 hanno un punteggio CVSS v3.1 di 4.5 e 4.3 e dovrebbero anch'esse essere corrette. Presentano le seguenti vulnerabilità: Una vulnerabilità in Veeam ONE consente a un utente con il ruolo Veeam ONE Power User di ottenere il token di accesso di un utente con il ruolo Veeam ONE Administrator tramite XSS. La seconda vulnerabilità consente a un utente di Veeam ONE con il ruolo Utente di sola lettura di Veeam ONE di visualizzare la pianificazione della dashboard.
Note di rilascio speciali per Veeam Recovery Orchestrator
Veeam One è un componente di Veeam Recovery Orchestrator, precedentemente noto come Veeam Disaster Recovery Orchestrator o Veeam Availability Orchestrator. I clienti che utilizzano le seguenti versioni di Orchestrator devono installare l'hotfix build incorporato di Veeam ONE da questo articolo.
- Veeam Recovery Orchestrator 6 P20230419 utilizza Veeam ONE 12 P20230314 (Costruire 12.0.1.2591).
Note: Veeam Recovery Orchestrator 6 GA viene fornito con Veeam ONE 12.0.0.2498, che non è compatibile con questo hotfix. Verifica quale versione di Veeam ONE è installata; Se è installato 12.0.0.2498, aggiornare Veeam Recovery Orchestrator come documentato in KB4437 . - Veeam Disaster Recovery Orchestrator 5 utilizza Veeam ONE 11a (Costruisci 11.0.1.1880)
- Veeam Availability Orchestrator 4 utilizza Veeam ONE 11 (Costruisci 11.0.0.1379)
Informazioni su Veeam Veeam offre alle aziende resilienza attraverso la sicurezza dei dati, il ripristino dei dati e la libertà dei dati per il loro cloud ibrido. Veeam Data Platform offre un'unica soluzione per ambienti cloud, virtuali, fisici, SaaS e Kubernetes, offrendo alle aziende la sicurezza che le loro applicazioni e i loro dati siano protetti e sempre disponibili per mantenere le loro attività operative.