Veeam waarschuwt voor vier kwetsbaarheden in de Veeam ONE monitorings- en analyticsplatform voor IT-infrastructuur. Twee van de beveiligingsproblemen zijn als kritiek beoordeeld. Hotfixes zijn beschikbaar.

In een security advisory waarschuwt Veeam voor de beveiligingsproblemen. Een van de twee kritieke kwetsbaarheden (CVE-2023-38547) geeft onbevoegden de mogelijkheid op afstand code uit te voeren op een SQL-servers waarop de Veeam ONE configuratiedatabase draait. Dit lek treft Veeam ONE 11, 11a en 12. Het lek krijgt een CVSS-score van 9,9.

NTLM-hash verkrijgen

Het tweede kritieke lek (CVE-2023-38548) geeft een ongeautoriseerde gebruikers die toegang heeft tot de Veeam ONE Web Client de mogelijkheid de NTLM-hash te verkrijgen van het account waarvan de Veeam ONE Reporting Service gebruikmaakt. Dit lek treft Veeam ONE 12 en krijgt een CVSS-score toegewezen van 9,8.

Het derde beveiligingsprobleem (CVE-2023-38549) stelt een Veeam ONE Power User in staat de toegangstoken te verkrijgen van een gebruikers met een Veeam ONE Administrator-account met behulp van cross-site scripting (XSS). Veeam wijst erop dat voor misbruik van dit lek interactie van de Veeam ONE Administrator nodig is. Het lek krijgt een CVSS-score van 4,5 en treft Veeam ONE 11, 11a en 12.

Ongeautoriseerd Dashboard Schedule bekijken

De vierde kwetsbaarheid waarop Veeam wijst stelt een gebruiker met een Veeam ONE Read-Only-account in staat het Dashboard Schedule te bekijken. Veeam benadrukt dat de gebruikers dit dashboard uitsluitend kan bekijken, en geen wijzigingen kan aanbrengen. Het lek treft Veeam ONE 11, 11a en 12, en krijgt een CVSS-score van 4,3.

De problemen zijn verholpen in Veeam ONE 12 P20230314 (12.0.1.2591), Veeam ONE 11a (11.0.1.1880) en Veeam ONE 11 (11.0.0.1379).