Vulnerabilità di scripting fra siti (XSS) riflesso in Veritas Desktop and Laptop Option (DLO)

Cronologia delle revisioni

• 1.0: 5 settembre 2022: versione iniziale
• 1.1: 11 ottobre 2022: aggiunto l'ID CVE

Riepilogo

È stata rilevata una vulnerabilità di scripting fra siti (XSS) riflesso in Veritas Desktop and Laptop Option (DLO)

Problema

• ID CVE: CVE-2022-41319
• Gravità: media
• Punteggio base CVSS v3.1: 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Riepilogo

È stata rilevata una vulnerabilità di scripting fra siti (XSS) riflesso nella pagina di accesso dell'applicazione Veritas Desktop and Laptop Option (DLO) Sfruttando questa vulnerabilità, malitenzionati da remoto possono inserire senza autenticazione script web di loro scelta nel parametro HTTP, in modo da riflettere senza sanificazione l'input degli utenti a causa di una neutralizzazione errata dell'input durante la generazione della pagina web (CWE-79).

Endpoint interessati

• https://{Host}/DLOServer/restore/login.jsp

Versioni interessate

Veritas Desktop and Laptop Option (DLO) versioni 9.7, 9.6, 9.5, 9.4, 9.3.3, 9.3.2, 9.3.1, 9.3, 9.2, 9.1. Potrebbero essere interessate anche versioni precedenti non supportate.

Riparazione

I clienti con un contratto di manutenzione valido devono eseguire l'aggiornamento Desktop and Laptop Option (DLO) versione 9.8.C
ercare in Veritas Download Center gli aggiornamenti disponibili: https://www.veritas.com/support/it_IT/downloads

Domande

Per domande o problemi relativi a queste vulnerabilità, contattare il supporto tecnico di Veritas (https://www.veritas.com/support/it_IT)

Riconoscimenti

Veritas desidera ringraziare Ahmed Ibrahim di Buguard per averci informato in merito a questa vulnerabilità.

Dichiarazione di non responsabilità

IL PRESENTE AVVISO DI SICUREZZA VIENE FORNITO "COSÌ COM'È" E TUTTE LE CONDIZIONI ESPLICITE O IMPLICITE, DICHIARAZIONI E GARANZIE, COMPRESE LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO SPECIFICO O DI NON VIOLAZIONE DEI DIRITTI, VENGONO ESCLUSE, FATTA ECCEZIONE PER I CASI IN CUI TALI CLAUSOLE DI ESCLUSIONE SIANO GIURIDICAMENTE NON VALIDE. VERITAS TECHNOLOGIES LLC NON POTRÀ ESSERE RITENUTA RESPONSABILE DI DANNI INCIDENTALI O CONSEGUENTI IN RELAZIONE ALL'EROGAZIONE, AL RENDIMENTO O ALL'UTILIZZO DELLA PRESENTE DOCUMENTAZIONE. LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO SONO SOGGETTE A MODIFICA SENZA PREAVVISO.

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054