Multiples vulnérabilités dans Veeam ONE

Gestion du document

Référence	CERTFR-2023-AVI-0917
Titre	Multiples vulnérabilités dans Veeam ONE
Date de la première version	07 novembre 2023
Date de la dernière version	07 novembre 2023
Source(s)	Bulletin de sécurité Veeam kb4508 du 06 novembre 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance
Injection de code indirecte à distance (XSS)
Atteinte à la confidentialité des données

Systèmes affectés

Veeam ONE versions 12.x antérieures à 12.0.1.2591 P20230314
Veeam ONE versions 11a.x antérieures à 11.0.1.1880
Veeam ONE versions 11.x antérieures à 11.0.0.1379

Résumé

De multiples vulnérabilités ont été découvertes dans Veeam ONE. Elles permettent à un attaquant de provoquer une injection de code indirecte à distance (XSS), une atteinte à la confidentialité des données et une exécution de code arbitraire à distance.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Veeam kb4508 du 06 novembre 2023
https://www.veeam.com/kb4508
Référence CVE CVE-2023-38547
https://www.cve.org/CVERecord?id=CVE-2023-38547
Référence CVE CVE-2023-38548
https://www.cve.org/CVERecord?id=CVE-2023-38548
Référence CVE CVE-2023-38549
https://www.cve.org/CVERecord?id=CVE-2023-38549
Référence CVE CVE-2023-41723
https://www.cve.org/CVERecord?id=CVE-2023-41723

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Veeam ONE