PT-2020-14417 · Veeam · Veeam One
Rgod
·
Publicado
2020-07-08
·
Atualizado
2020-08-03
·
CVE-2020-15418
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Veeam ONE versão 10.0.0.750 20200415
Descrição
Esta vulnerabilidade permite que invasores remotos divulguem informações confidenciais nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha existe na classe
SSRSReport devido à restrição inadequada de referências a Entidades Externas XML (XXE). Um documento especialmente criado pode fazer com que o analisador XML acesse um URI especificado e incorpore seu conteúdo de volta ao documento XML. Isso pode ser aproveitado para divulgar o conteúdo de arquivos no contexto do SYSTEM.Recomendações
Para o Veeam ONE versão 10.0.0.750 20200415, considere restringir o acesso à classe
SSRSReport até que um patch esteja disponível. Como solução alternativa temporária, evite usar o método GetCustomElementText no processamento de Entidades Externas XML afetadas até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Veeam One