Veeam ha advertido de una vulnerabilidad que podría permitir a un atacante ejecutar código de forma remota (RCE) en el servidor SQL de su plataforma de monitorización Veeam ONE.
Veeam ONE 11, 11a y 12 también se utilizan en las versiones 5 y 6 de Disaster Recovery Orchestrator de la empresa, así como en la versión 4 de su Availability Orchestrator.
De acuerdo a asesoramiento empresarialCVE-2023-38547 (puntuación CVSS 9,9) «permite a un usuario no autenticado obtener información sobre la conexión del servidor SQL que Veeam ONE utiliza para acceder a su base de datos de configuración».
Un atacante que obtenga esta información podría obtener RCE en el servidor que aloja la base de datos de configuración.
Una segunda vulnerabilidad crítica, CVE-2023-38548 (puntuación CVSS 9,8), permite a un usuario sin privilegios con acceso al cliente web Veeam ONE obtener el «hash NTLM» de Microsoft de la cuenta utilizada por el servicio de informes Veeam ONE.
También hay dos vulnerabilidades de menor calificación que la compañía solucionó a principios de esta semana.
CVE-2023-38549 (puntuación CVSS 4,5) tiene una calificación más baja porque solo es explotable por un atacante con una función de usuario avanzado de Veeam ONE. El atacante podría utilizar un ataque de secuencias de comandos entre sitios (XSS) para obtener un token de acceso de administrador.
En CVE-2023-41723 (puntuación CVSS 4,3), una persona con privilegios de solo lectura podía ver la programación del panel de software.
La compañía señaló que las pruebas de vulnerabilidad solo se realizaron en las versiones actualmente compatibles de su software.
Las correcciones se proporcionan como archivos de parche que requieren detener y reiniciar los servicios de informes y monitoreo de Veeam ONE.
También te puede interesar
-
La red social Butterflies AI agrega una función que te convierte en un personaje de IA
-
Capture cada momento como un profesional con la cámara más potente del Galaxy Z Flip hasta el momento – Samsung Newsroom México
-
Epiroc lanza un nuevo equipo de perforación de producción de pozos largos
-
Caroline Doherty está satisfecha con los resultados del Leaving Cert de los estudiantes de Moville
-
En imágenes: gran revuelo en la jornada de puertas abiertas de los apicultores de Laois – Página 1 de 9