VTS22-014

Vulnérabilité Cross-Site Scripting (XSS) réfléchi dans Veritas Desktop and Laptop Option (DLO)

Historique des révisions

1.0 : 5 septembre 2022 : version initiale
1.1 : 11 octobre 2022 : ID de CVE ajouté

Résumé

Une vulnérabilité Cross-Site Scripting (XSS) réfléchi a été détectée dans Desktop and Laptop Option (DLO).

Problème

ID CVE : CVE-2022-41319
Gravité : moyenne
Score de base CVSS v3.1 : 6,1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Résumé

Une vulnérabilité Cross-Site Scripting (XSS) réfléchi affecte la page de connexion de l'application Veritas Desktop and Laptop Option (DLO). Cela permet à des cybercriminels distants non authentifiés d'insérer un script web arbitraire dans le paramètre HTTP qui reflète l'entrée de l'utilisateur sans nettoyage en raison de la neutralisation incorrecte de l'entrée lors de la génération de la page web (CWE-79).

Terminaux affectés

https://{Host}/DLOServer/restore/login.jsp

Versions affectées

Veritas Desktop and Laptop Option (DLO), versions 9.7, 9.6, 9.5, 9.4, 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1. Les versions antérieures non prises en charge peuvent également être affectées.

Remédiation

Les clients liés par un contrat de maintenance en cours doivent effectuer la mise à jour vers Desktop and Laptop Option (DLO), version 9.8.
Consultez le Centre de téléchargements Veritas pour découvrir les mises à jour disponibles : https://www.veritas.com/support/fr_FR/downloads

Questions

Pour toute question ou tout problème concernant ces vulnérabilités, contactez le support technique de Veritas (https://www.veritas.com/support/fr_FR)

Remerciements

Veritas tient à remercier Ahmed Ibrahim de Buguard d'avoir signalé cette vulnérabilité.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OÙ CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. VERITAS TECHNOLOGIES LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054