Vulnerabilidad en Veritas Enterprise Vault (CVE-2024-52941)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

18/11/2024

Última modificación:

18/11/2024

Descripción

Se descubrió un problema en Veritas Enterprise Vault anterior a la versión 15.1 UPD882911, ZDI-CAN-24695. Permite que un atacante remoto autenticado inyecte un parámetro en una solicitud HTTP, lo que permite la ejecución de cross site scripting (XSS) mientras se visualiza contenido archivado. Esto podría reflejarse en un usuario autenticado sin desinfección si ese usuario lo ejecuta.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.veritas.com/support/en_US/security/VTS24-013