Krytyczna podatność w Veeam Service Provider Console umożliwia zdalne wykonanie kodu (RCE) przez uwierzytelnionego użytkownika sieciowego. Ze względu na ocenę CVSS 9.4 oraz potencjalny wpływ na systemy zewnętrzne, stanowi poważne zagrożenie dla infrastruktury dostawców usług zarządzanych.
▸ Pokaż oryginał (EN)
This vulnerability in Veeam Service Provider Console allows for remote code execution.
Podatność sklasyfikowana jako CWE-233 (Improper Handling of Parameters) pozwala atakującemu na zdalne wykonanie dowolnego kodu na podatnym systemie. Wektor ataku sieciowy (AV:N) bez konieczności interakcji użytkownika (UI:N) przy niskich wymaganiach dotyczących uprawnień (PR:L) oznacza, że wystarczy posiadanie podstawowego dostępu do konsoli, aby przeprowadzić skuteczny atak. Podatność wpływa zarówno na zasoby systemu docelowego, jak i powiązanych systemów (SC:H/SI:H/SA:H).
Pomyślne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych oraz naruszenia integralności i dostępności zarówno systemu docelowego, jak i systemów z nim powiązanych.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://www.veeam.com/kb4853. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu sieciowego do konsoli Veeam Service Provider Console wyłącznie do zaufanych hostów oraz monitorowanie logów pod kątem nieautoryzowanych działań.
Veeam Service Provider Console — wersje wskazane w referencjach producenta (https://www.veeam.com/kb4853)
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X