Veritas Desktop and Laptop Option (DLO) 中的反射型跨站脚本攻击 (XSS) 漏洞

修订历史记录

• 1.0：2022 年 9 月 5 日：初始版
• 1.1：2022 年 10 月 11 日：增加了 CVE ID

摘要

在 Desktop and Laptop Option (DLO) 中发现了反射型跨站脚本攻击漏洞。

问题

• CVE ID：CVE-2022-41319
• 严重性：中
• CVSS v3.1 基础评分 6.1 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

摘要

反射型跨站脚本攻击 (XSS) 漏洞会影响 Desktop and Laptop Option (DLO) 应用程序登录页面。该漏洞可让未经身份验证的远程攻击者将任意 Web 脚本注入 HTTP 参数，这会因在网页生成过程中出现不当的中和输入 (CWE-79) 而影响未净化的用户输入内容。

受影响的端点

• https://{Host}/DLOServer/restore/login.jsp

受影响的版本

Veritas Desktop and Laptop Option (DLO) 版本 9.7、9.6、9.5、9.4、9.3.3、9.3.2、9.3.1、9.3、9.2、9.1。不受支持的早期版本可能也会受到影响。

补救措施

签署了当前维护合同的客户应更新到 Desktop and Laptop Option (DLO) 版本 9.8。
有关可用更新，请查看 Veritas 下载中心： https://www.veritas.com/support/zh_CN/downloads

疑问

如有关于这些漏洞的疑问或问题，请联系 Veritas 技术支持 (https://www.veritas.com/support/zh_CN)

鸣谢

Veritas 衷心感谢 Buguard 的 Ahmed Ibrahim 告知我们此漏洞。

免责声明

本安全公告按“原样”提供，对于所有明示或暗示的条款、陈述和保证，包括任何适销性、针对特定用途的适用性或未侵权的暗示保证，均不提供任何担保，除非此类免责声明的范围在法律上视为无效。Veritas Technologies LLC 不对任何与提供、执行或使用本文档相关的伴随或后果性损害负责。本文档所含信息如有更改，恕不另行通知。

Veritas Technologies LLC

2625 Augustine Drive

Santa Clara, CA 95054