7 November 2023
Samenvatting
Gisteren heeft Veeam vier kwetsbaarheden aangekondigd in zijn Veeam ONE IT monitoring en rapportageoplossing. Twee van de kwetsbaarheden zijn van kritieke ernst. Er zijn hotfixes (patches) uitgebracht om de situatie te verhelpen. De verdeling van de kwetsbaarheden is als volgt:
Met CVE-2023-38547 (CVSS 3.1: 9.9) kan een niet-geverifieerde gebruiker informatie verkrijgen over de SQL server connection die Veeam ONE gebruikt om toegang te krijgen tot de configuratiedatabase. Dit kan leiden tot uitvoering van externe code op de SQL server die als host fungeert voor de Veeam ONE configuration database.
CVE-2023-38548 (CVSS 3.1: 9.8) biedt een gebruiker zonder rechten die toegang heeft tot de Veeam ONE Web Client de mogelijkheid om de NTLM hash te verkrijgen van het account dat wordt gebruikt door de Veeam ONE Reporting Service.
Met CVE-2023-38549 (CVSS 3.1: 4.5) kan een gebruiker met de rol Veeam ONE Power User de toegangstoken verkrijgen van een gebruiker met de rol Veeam ONE Administrator via het gebruik van XSS. Opmerking: De kritiekheid van dit beveiligingslek is verminderd omdat er interactie van een gebruiker met de rol Veeam ONE-beheerder voor nodig is.
Met CVE-2023-41723 (CVSS 3.1: 4.3) kan een gebruiker met de rol Veeam ONE Read-Only User het dashboardschema bekijken. Opmerking: De kritiekheid van dit beveiligingslek wordt verminderd omdat de gebruiker met de rol Alleen-lezen de planning alleen kan bekijken en geen wijzigingen kan aanbrengen.
Betrokken producten
Elk van de volgende productversies wordt getroffen door ten minste één van deze kwetsbaarheden:
Veeam ONE 11, 11a, 12
Oplossing
Veeam heeft hotfixes uitgebracht voor de volgende versies:
- Veeam ONE 12 P20230314 (12.0.1.2591)
- Veeam ONE 11a (11.0.1.1880)
- Veeam ONE 11 (11.0.0.1379)