A Veeam está informando seus usuários sobre duas vulnerabilidades críticas e duas médias no Veeam One para as quais patches já estão disponíveis. As lacunas críticas têm um valor CVSS v3 de 9.9 e 9.8 em 10. Os responsáveis devem, portanto, agir imediatamente.
As vulnerabilidades com o código CVE-2023-38547 e CVE-2023-38548 descrevem um alto nível de perigo no Veeam ONE. As seguintes versões são afetadas:
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)
Duas vulnerabilidades críticas no Veeam One
A primeira vulnerabilidade CVE-2023-38547 com CVSS v3.1: 9.9 no Veeam ONE permite que um usuário não autenticado obtenha informações sobre a conexão do SQL Server que o Veeam ONE usa para acessar seu banco de dados de configuração. Isso pode levar à execução remota de código no servidor SQL que hospeda o banco de dados de configuração do Veeam ONE.
A segunda vulnerabilidade CVE-2023-38548 com pontuação CVSS v3.1: 9.8 no Veeam ONE permite que um usuário sem privilégios que tenha acesso ao Veeam ONE Web Client tenha a capacidade de roubar o hash NTLM do arquivo usado pelo Veeam ONE Reporting Serviço para recuperar a conta.
As duas vulnerabilidades médias CVE-2023-38549 e CVE-2023-41723 têm uma pontuação CVSS v3.1 de 4.5 e 4.3 e também devem ser corrigidas. Eles têm as seguintes vulnerabilidades: Uma vulnerabilidade no Veeam ONE permite que um usuário com a função de usuário avançado do Veeam ONE obtenha o token de acesso de um usuário com a função de administrador do Veeam ONE via XSS. A segunda vulnerabilidade permite que um usuário no Veeam ONE com a função de usuário somente leitura do Veeam ONE visualize a programação do painel.
Notas de lançamento especiais do Veeam Recovery Orchestrator
O Veeam One é um componente do Veeam Recovery Orchestrator – anteriormente conhecido como Veeam Disaster Recovery Orchestrator ou Veeam Availability Orchestrator. Os clientes que usam as seguintes versões do Orchestrator devem instalar o hotfix de compilação incorporado do Veeam ONE deste artigo.
- Veeam Recovery Orchestrator 6 P20230419 usa Veeam ONE 12 P20230314 (Compilação 12.0.1.2591).
Nota: O Veeam Recovery Orchestrator 6 GA vem com o Veeam ONE 12.0.0.2498, que não é compatível com esse hotfix. Verifique qual versão do Veeam ONE está instalada; Se 12.0.0.2498 estiver instalado, atualize o Veeam Recovery Orchestrator conforme documentado em KB4437 . - Veeam Disaster Recovery Orchestrator 5 usa Veeam ONE 11a (Construir 11.0.1.1880)
- Veeam Availability Orchestrator 4 usa Veeam ONE 11 (Construir 11.0.0.1379)
Sobre a Veeam A Veeam oferece às empresas resiliência por meio de segurança de dados, recuperação de dados e liberdade de dados para sua nuvem híbrida. A Veeam Data Platform oferece uma solução única para ambientes de nuvem, virtuais, físicos, SaaS e Kubernetes, dando às empresas a confiança de que seus aplicativos e dados estão protegidos e sempre disponíveis para manter seus negócios funcionando.