Vulnerabilidades críticas en Veeam ONE
INTRODUCCIÓN
Veeam ha publicado varias actualizaciones de seguridad para solucionar dos vulnerabilidades críticas, CVE-2023-38548 y CVE-2023-38547, y otras dos de gravedad media. De las dos críticas, una puede ser aprovechada por un atacante para obtener acceso sin privilegios a los datos y la otra puede dar lugar a un RCE.
ANÁLISIS
CVE-2023-38547 CVSS:3.1 - 9.9:
Una vulnerabilidad en Veeam ONE permite a un usuario no autenticado obtener información sobre la conexión del servidor SQL que Veeam ONE utiliza para acceder a su base de datos de configuración. Esto puede conducir a la ejecución remota de código en el servidor SQL que aloja la base de datos de configuración de Veeam ONE.
CVE-2023-38548 CVSS:3.1 - 9.8:
Una vulnerabilidad en Veeam ONE permite a un usuario sin privilegios que tenga acceso al cliente web de Veeam ONE la capacidad de adquirir el hash NTLM de la cuenta utilizada por el servicio de informes de Veeam ONE.
VERSIONES AFECTADAS
- Veeam ONE 11
- Veeam ONE 11a
- Veeam ONE 12
RECOMENDACIONES
Hay una corrección disponible para las siguientes versiones:
- Actualice a Veeam ONE 12 P20230314 (12.0.1.2591)
- Actualice a Veeam ONE 11a (11.0.1.1880)
- Actualice a Veeam ONE 11 (11.0.0.1379)