CVE-2020-36163

**Nome do software vulnerável e versões afetadas:

Versões do Veritas NetBackup e OpsCenter até a 8.3.0.1

Descrição:

Foi detectada uma falha no Veritas NetBackup e no OpsCenter em que os processos do NetBackup que utilizam o Strawberry Perl tentam carregar e executar bibliotecas a partir de caminhos que não existem por padrão no sistema operacional Windows. Um usuário com privilégios baixos no sistema Windows pode criar um caminho afetado com uma biblioteca que o NetBackup tenta carregar, permitindo que ele execute código arbitrário como SYSTEM ou Administrador. Isso concede ao invasor acesso de administrador no sistema, permitindo que ele acesse todos os dados e aplicativos instalados. O sistema fica vulnerável durante uma instalação ou atualização em todos os sistemas e após a instalação nos servidores Master, Media e OpsCenter durante operações normais.

Recomendações:

Para as versões do Veritas NetBackup e OpsCenter até a 8.3.0.1, considere restringir o acesso às bibliotecas Strawberry Perl para minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, evite criar diretórios em C: que possam ser usados para carregar bibliotecas maliciosas. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.