Veritas DLO의 반사형 XSS 취약점

리비전 내역

• 1.0: 2022년 9월 5일: 초기 버전
• 1.1: 2022년 10월 11일: CVE ID 추가

요약

Desktop and Laptop Option(DLO)에서 반사형 사이트 간 스크립팅 취약점이 발견되었습니다.

문제

• CVE ID: CVE-2022-41319
• 심각도: 중간
• CVSS v3.1 기본 점수 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

요약

반사형 사이트 간 스크립팅(XSS) 취약점은 Desktop and Laptop Option(DLO) 애플리케이션 로그인 페이지에 영향을 미칩니다. 이를 통해 인증되지 않은 원격 공격자가 임의 웹 스크립트를 HTTP 매개변수에 주입하여 웹 페이지 생성 중 부적절한 입력 무력화로 인해 무력화 없이 사용자 입력을 반영할 수 있습니다(CWE-79).

영향을 받는 엔드포인트

• https://{Host}/DLOServer/restore/login.jsp

영향받는 버전

Veritas Desktop and Laptop Option(DLO) 9.7, 9.6, 9.5, 9.4, 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1 버전. 지원되지 않는 이전 버전도 영향을 받을 수 있습니다.

조치

현행 유지 보수 계약을 체결한 고객은 Desktop and Laptop Option(DLO) 9.8 버전으로 업데이트해야 합니다.
이용 가능한 업데이트는 베리타스 다운로드 센터 (https://www.veritas.com/support/ko_KR/downloads) 를 참조하십시오.

질문

이러한 취약점에 대한 질문이나 문제가 있으시면 베리타스 기술 지원(https://www.veritas.com/support/ko_KR) 에 문의하시기 바랍니다.

감사의 말

베리타스는 이 취약점에 대해 알려주신 Buguard의 Ahmed Ibrahim 씨께 감사드립니다.

면책 조항

이 보안 권고는 '있는 그대로' 제공되며 상품성, 특정 목적에의 적합성, 비침해성에 대한 묵시적인 보증을 비롯한 모든 명시적/묵시적 조건, 제시 및 보증에 대해 책임을 지지 않습니다. 단, 이러한 조건, 제시 및 보증의 배제가 법적으로 무효가 되는 경우는 예외로 합니다. Veritas Technologies LLC는 이 문서의 제공, 실행 또는 사용과 관련되는 우발적 손해 또는 결과적 손해에 대해 책임을 지지 않습니다. 이 문서의 정보는 예고 없이 변경될 수 있습니다.

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054