PT-2020-14418 · Veeam · Veeam One
Rgod
·
Publicado
2020-07-08
·
Atualizado
2020-08-03
·
CVE-2020-15419
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Veeam ONE versão 10.0.0.750 20200415
Descrição
Esta vulnerabilidade permite que invasores remotos divulguem informações confidenciais em instalações afetadas sem a necessidade de autenticação. A falha existe na classe Reporter ImportLicense devido à restrição inadequada de referências a Entidades Externas XML (XXE). Ao especificar um URI especialmente criado em um documento, um invasor pode fazer com que o analisador XML acesse o URI e incorpore seu conteúdo de volta ao documento XML. Isso pode ser aproveitado para divulgar o conteúdo de arquivos no contexto do SYSTEM.
Recomendações
Para o Veeam ONE versão 10.0.0.750 20200415, considere restringir o acesso à classe Reporter ImportLicense até que um patch esteja disponível. Como solução alternativa temporária, desativar o processamento de Entidade Externa XML (XXE) na classe Reporter ImportLicense pode ajudar a minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Veeam One