PT-2020-12417 · Veeam · Veeam One Agent
Edgar Boda-Majer
+1
·
Publicado
2020-04-16
·
Atualizado
2020-05-04
·
CVE-2020-10915
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
VEEAM One Agent versão 9.5.4.4587
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha existe no método
HandshakeResult e resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode levar à desserialização de dados não confiáveis. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto da conta de serviço.Recomendações
Para o VEEAM One Agent versão 9.5.4.4587, considere desativar o método
HandshakeResult como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à conta de serviço para minimizar o risco de exploração. Evite usar dados não confiáveis no processo de desserialização até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Veeam One Agent