Veeam ONE corrige 4 vulnerabilidades incluyendo 2 de severidad CRÍTICA

Veeam es una empresa de tecnología de la información que desarrolla software de respaldo, recuperación ante desastres y protección de datos moderno para aplicaciones virtuales, nativas de la nube, SaaS, Kubernetes y cargas físicas de trabajo.

Veeam ha resuelto cuatro vulnerabilidades en su plataforma de análisis y monitoreo de infraestructura de TI, conocida como Veeam ONE.

La vulnerabilidad más CRÍTICA identificada como CVE-2023-38547 con una puntuación CVSS de 9.9, podría ser aprovechada por un atacante no autenticado. Esta vulnerabilidad en Veeam ONE permite a un usuario no autenticado obtener información sobre la conexión del servidor SQL que utiliza para acceder a su base de datos de configuración. Esto podría resultar en la ejecución remota de código en el servidor SQL que alberga la base de datos de configuración de Veeam ONE.

La segunda vulnerabilidad CRÍTICA identificada como CVE-2023-38548 con una puntuación CVSS de 9.8, podría ser explotada por un usuario sin privilegios que tenga acceso al Veeam ONE Web Client. Esta vulnerabilidad permitiría al usuario obtener el hash NTLM de la cuenta utilizada por Veeam ONE Reporting Service. Esta vulnerabilidad afecta específicamente a Veeam ONE 12.

La siguiente vulnerabilidad de severidad MEDIA identificada como CVE-2023-38549, con una puntuación CVSS de 4.5, podría permitir que un usuario con el rol de Veeam ONE Power User obtenga el token de acceso de un usuario con el rol de Veeam ONE Administrator mediante un ataque Cross Site Scripting (XSS).

La última vulnerabilidad de severidad MEDIA identificada como CVE-2023-41723, con una puntuación CVSS de 4.3, podría ser aprovechada por un usuario con el rol de solo lectura de Veeam ONE para visualizar la programación del panel.

Productos Afectados

• Afecta a las versiones 11, 11a y 12 de Veeam ONE.

Solución

• Veeam ONE 12 P20230314 (12.0.1.2591)
• Veeam ONE 11a (11.0.1.1880)
• Veeam ONE 11 (11.0.0.1379)

Recomendación

• Actualizar sus sistemas Veeam ONE a sus últimas revisiones disponibles para estar protegido contra estas vulnerabilidades.

Referencias:

• https://vulnera.com/newswire/veeam-addresses-multiple-vulnerabilities-in-veeam-one-platform/
• https://sensorstechforum.com/es/cve-2023-38547-veeam/
• https://www.veeam.com/kb4508