Veeam a publié aujourd’hui des correctifs pour corriger quatre vulnérabilités dans sa plateforme de surveillance et d’analyse de l’infrastructure informatique Veeam ONE, dont deux sont critiques.
« Une vulnérabilité dans Veeam ONE permet à un utilisateur non authentifié d’obtenir des informations sur la connexion au serveur SQL que Veeam ONE utilise pour accéder à sa base de données de configuration. Cela peut conduire à l’exécution de code à distance sur le serveur SQL hébergeant la base de données de configuration de Veeam ONE, » indique un avis publié aujourd’hui à propos du bogue suivi comme CVE-2023-38547.
« Une vulnérabilité dans Veeam ONE permet à un utilisateur non privilégié ayant accès au Veeam ONE Web Client d’acquérir le hash NTLM du compte utilisé par le Veeam ONE Reporting Service, » indique la société en décrivant la seconde vulnérabilité critique corrigée aujourd’hui.
Veeam a également corrigé une faille de sécurité identifiée comme CVE-2023-38549 qui pouvait permettre à des attaquants ayant le rôle de Power User de voler le jeton d’accès d’un administrateur dans le cadre d’une attaque de type Cross-Site Scripting, qui nécessite l’interaction d’un utilisateur ayant le rôle d’Administrateur de Veeam ONE.
Les administrateurs doivent arrêter les services de monitoring et de reporting de Veeam ONE sur les serveurs concernés, remplacer les fichiers sur le disque par les fichiers du hotfix, et redémarrer les services pour déployer les hotfixes.
En mars, Veeam a également corrigé une vulnérabilité de haute sévérité du service de sauvegarde dans le logiciel de sauvegarde et de réplication qui peut être utilisée pour incidenter les hôtes de l’infrastructure de sauvegarde.
