PT-2021-24151 · Veritas · Veritas Enterprise Vault
Markus Wulftange
+1
·
Publicado
2021-12-06
·
Atualizado
2022-03-10
·
CVE-2021-44682
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Veritas Enterprise Vault até a 14.1.2
Descrição:
Foi detectada uma falha no Veritas Enterprise Vault em que o aplicativo inicia vários serviços que escutam em portas TCP aleatórias do .NET Remoting, aguardando possíveis comandos de aplicativos clientes. Esses serviços TCP podem ser explorados devido ao comportamento de desserialização inerente ao serviço .NET Remoting. Um invasor mal-intencionado pode explorar tanto os serviços TCP remoting quanto os serviços IPC locais no servidor do Enterprise Vault.
Recomendações:
Para as versões do Veritas Enterprise Vault até a 14.1.2, configure adequadamente os servidores e o firewall conforme descrito no alerta de segurança do fornecedor para esta vulnerabilidade, a fim de mitigar o problema.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Veritas Enterprise Vault