Veeam waarschuwt voor vier kwetsbaarheden in de Veeam ONE monitorings- en analyticsplatform voor IT-infrastructuur. Twee van de beveiligingsproblemen zijn als kritiek beoordeeld. Hotfixes zijn beschikbaar.
In een security advisory waarschuwt Veeam voor de beveiligingsproblemen. Een van de twee kritieke kwetsbaarheden (CVE-2023-38547) geeft onbevoegden de mogelijkheid op afstand code uit te voeren op een SQL-servers waarop de Veeam ONE configuratiedatabase draait. Dit lek treft Veeam ONE 11, 11a en 12. Het lek krijgt een CVSS-score van 9,9.
Het derde beveiligingsprobleem (CVE-2023-38549) stelt een Veeam ONE Power User in staat de toegangstoken te verkrijgen van een gebruikers met een Veeam ONE Administrator-account met behulp van cross-site scripting (XSS). Veeam wijst erop dat voor misbruik van dit lek interactie van de Veeam ONE Administrator nodig is. Het lek krijgt een CVSS-score van 4,5 en treft Veeam ONE 11, 11a en 12.
De problemen zijn verholpen in Veeam ONE 12 P20230314 (12.0.1.2591), Veeam ONE 11a (11.0.1.1880) en Veeam ONE 11 (11.0.0.1379).
Deze posting is gelocked. Reageren is niet meer mogelijk.