Vulnerabilidad en NetBackup Snapshot Manager de Veritas (CVE-2023-40256)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
11/08/2023
Última modificación:
18/08/2023
Descripción
Se descubrió una vulnerabilidad en Veritas NetBackup Snapshot Manager anterior a 10.2.0.1 que permitía a clientes no confiables interactuar con el servicio RabbitMQ. Esto se debía a una validación incorrecta del certificado del cliente debido a una configuración incorrecta del servicio RabbitMQ. Explotar esto afecta a la confidencialidad e integridad de los mensajes que controlan los trabajos de copia de seguridad y restauración, y podría provocar que el servicio dejara de estar disponible. Esto sólo afecta a los trabajos que controlan las actividades de copia de seguridad y restauración, y no permite el acceso a (o la eliminación de) los propios datos de instantáneas de copia de seguridad. Esta vulnerabilidad se limita a la función Snapshot Manager de NetBackup y no afecta a la instancia de RabbitMQ en los servidores primarios de NetBackup.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:veritas:netbackup_snapshot_manager:*:*:*:*:*:*:*:* | 8.3.0.2 (incluyendo) | |
| cpe:2.3:a:veritas:netbackup_snapshot_manager:9.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:veritas:netbackup_snapshot_manager:9.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:veritas:netbackup_snapshot_manager:9.1.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:veritas:netbackup_snapshot_manager:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:veritas:netbackup_snapshot_manager:10.0.0.1:-:*:*:*:*:*:* | ||
| cpe:2.3:a:veritas:netbackup_snapshot_manager:10.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:veritas:netbackup_snapshot_manager:10.1.1:-:*:*:*:*:*:* | ||
| cpe:2.3:a:veritas:netbackup_snapshot_manager:10.2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página