Veeam ha advertido de una vulnerabilidad que podría permitir a un atacante ejecutar código de forma remota (RCE) en el servidor SQL de su plataforma de monitorización Veeam ONE.
Veeam ONE 11, 11a y 12 también se utilizan en las versiones 5 y 6 de Disaster Recovery Orchestrator de la empresa, así como en la versión 4 de su Availability Orchestrator.
De acuerdo a asesoramiento empresarialCVE-2023-38547 (puntuación CVSS 9,9) «permite a un usuario no autenticado obtener información sobre la conexión del servidor SQL que Veeam ONE utiliza para acceder a su base de datos de configuración».
Un atacante que obtenga esta información podría obtener RCE en el servidor que aloja la base de datos de configuración.
Una segunda vulnerabilidad crítica, CVE-2023-38548 (puntuación CVSS 9,8), permite a un usuario sin privilegios con acceso al cliente web Veeam ONE obtener el «hash NTLM» de Microsoft de la cuenta utilizada por el servicio de informes Veeam ONE.
También hay dos vulnerabilidades de menor calificación que la compañía solucionó a principios de esta semana.
CVE-2023-38549 (puntuación CVSS 4,5) tiene una calificación más baja porque solo es explotable por un atacante con una función de usuario avanzado de Veeam ONE. El atacante podría utilizar un ataque de secuencias de comandos entre sitios (XSS) para obtener un token de acceso de administrador.
En CVE-2023-41723 (puntuación CVSS 4,3), una persona con privilegios de solo lectura podía ver la programación del panel de software.
La compañía señaló que las pruebas de vulnerabilidad solo se realizaron en las versiones actualmente compatibles de su software.
Las correcciones se proporcionan como archivos de parche que requieren detener y reiniciar los servicios de informes y monitoreo de Veeam ONE.
«Emprendedor. Aficionado incurable al twitter. Gamer. Aficionado apasionado de la cerveza. Practicante de la web. Estudiante típico».
También te puede interesar
-
Vuelve a entrenar tu cerebro y salva tu vida en una moto
-
Microsoft prohíbe a la policía utilizar el servicio de inteligencia artificial para reconocimiento facial
-
Apple agrega más exclusiones a sus tarifas tecnológicas básicas de la UE después de las críticas de los desarrolladores
-
WhatsApp agrega eventos comunitarios para facilitar una mayor participación
-
Aston Martin presenta un V-12 rediseñado que produce 824 caballos de fuerza