Veritas Desktop and Laptop Option (DLO) における反射型クロスサイトスクリプティング (XSS) の脆弱性

リビジョン履歴

• 1.0: 2022 年 9 月 5 日: 初回バージョン
• 1.1: 2022 年 10 月 11 日: CVE ID を追加

概要

Desktop and Laptop Option (DLO) において、反射型クロスサイトスクリプティング (XSS) の脆弱性が見つかりました。

問題

• CVE ID: CVE-2022-41319
• 重大度: 中
• CVSS v3.1 基本スコア 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

概要

反射型クロスサイトスクリプティング (XSS) の脆弱性によって Desktop and Laptop Option (DLO) アプリケーションのログインページが影響を受けます。これにより、認証されていないリモート攻撃者が、Web ページ生成時の入力の不適切な中立化 (CWE-79) を原因として、ユーザー入力に対応する HTTP パラメータに任意の Web スクリプトを無害化することなく挿入できてしまいます。

影響を受けるエンドポイント

• https://{Host}/DLOServer/restore/login.jsp

影響を受けるバージョン

Veritas Desktop and Laptop Option (DLO) バージョン 9.7、9.6、9.5、9.4、9.3.3、9.3.2、9.3.1、9.3、9.2、9.1。それ以前のすでにサポート対象外のバージョンも影響を受ける可能性があります。

修復策

現在メンテナンス契約をお持ちのお客様は、Desktop and Laptop Option (DLO) バージョン 9.8 に更新してください。
利用可能な更新については、ベリタスダウンロードセンター (https://www.veritas.com/support/ja_JP/downloads) を参照してください。

お問い合わせ

この脆弱性に関してご質問や問題がありましたら、ベリタステクニカルサポート (https://www.veritas.com/support/ja_JP) にお問い合わせください。

謝辞

この脆弱性を弊社にご報告いただいた Buguard 社の Ahmed Ibrahim 氏に感謝いたします。

免責

本セキュリティアドバイザリは、現状のままで提供されるものであり、その商品性、特定目的への適合性、または不侵害の暗黙的な保証を含む、明示的あるいは暗黙的な条件、表明、および保証はすべて免責されるものとします。ただし、これらの免責が法的に無効であるとされる場合を除きます。Veritas Technologies LLC は、本アドバイザリの提供、内容の実施、また本アドバイザリの利用によって偶発的あるいは必然的に生じる損害については責任を負わないものとします。本アドバイザリに記載の情報は、予告なく変更される場合があります。

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054