Veeam ONE SSRSRaporunu GetCustomElementText XML Harici Varlık İşleme Bilgilerinde Açığa Çıkma Güvenlik Açığı

CVE IDCVE-2020-15418
CVSS SKOR7.5, (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)
ETKİLENEN ÜRETİCİVeeam
ETKİLENEN ÜRÜNONE
ZAFİYET DETAYBu güvenlik açığı, uzaktan saldırganların Veeam ONE’ın etkilenen yüklemeleri hakkında hassas bilgileri açıklamalarını sağlar. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekmez. Spesifik kusur SSRSReport sınıfında bulunur. XML Harici Varlık (XXE) referanslarının yanlış kısıtlanması nedeniyle, bir URI belirten özel hazırlanmış bir belge, XML ayrıştırıcısının URI’ye erişmesine ve içeriği daha sonraki işlemler için XML belgesine katıştırmasına neden olur. Saldırgan, dosya içeriğini SYSTEM bağlamında açıklamak için bu güvenlik açığından yararlanabilir.
EK DETAY
Veeam bu güvenlik açığını gidermek için bir güncelleme yayınladı. Daha fazla ayrıntıyı şu adreste bulabilirsiniz:
https://www.veeam.com/kb3221
BİLDİRİM TARİHİ VE AKSİYONLAR2020-05-14 – Üreticiye mevcut bildirilen güvenlik açığı.
2020-07-08 – Üretici oluşan zafiyeti duyurma zamanı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!