Kwetsbaarheid in Veeam ONE

CVE-2023-38547

Door een kwetsbaarheid in Veeam ONE kan een niet-geverifieerde gebruiker informatie verkrijgen over de SQL-serververbinding die Veeam ONE gebruikt om toegang te krijgen tot de configuratiedatabase. Dit kan leiden tot uitvoering van externe code op de SQL-server die als host fungeert voor de Veeam ONE-configuratiedatabase.

Betrokken versie(s)*: Veeam ONE 11, 11a, 12
Ernst: Kritiek
CVSS v3.1: 9.9

CVE-2023-38548

Door een kwetsbaarheid in Veeam ONE kan een onbevoegde gebruiker die toegang heeft tot de Veeam ONE Web Client de NTLM-hash verkrijgen van het account dat wordt gebruikt door de Veeam ONE Reporting Service.

Betrokken versie(s)*: Veeam ONE 12
Ernst: Kritiek
CVSS v3.1-score: 9,8

CVE-2023-38549

Door een kwetsbaarheid in Veeam ONE kan een gebruiker met de rol Veeam ONE Power User via XSS het toegangstoken verkrijgen van een gebruiker met de rol Veeam ONE Administrator .
Opmerking: De kritiekheid van dit beveiligingslek is verminderd omdat er interactie van een gebruiker met de rol Veeam ONE-beheerder voor nodig is.

Betrokken versie(s)*: Veeam ONE 11, 11a, 12
Ernst: Gemiddeld
CVSS v3.1-score: 4.5

CVE-2023-41723

Door een kwetsbaarheid in Veeam ONE kan een gebruiker met de rol Veeam ONE Read-Only User het Dashboard Schedule bekijken .
Opmerking: De kritiekheid van dit beveiligingslek wordt verminderd omdat de gebruiker met de rol Alleen-lezen de planning alleen kan bekijken en geen wijzigingen kan aanbrengen.

Betrokken versie(s)*: Veeam ONE 11, 11a, 12
Ernst: Gemiddeld
CVSS v3.1-score: 4.3

*Kwetsbaarheidstests zijn alleen uitgevoerd met actief ondersteunde versies van Veeam ONE.

Oplossing

Voor de volgende versies is een hotfix beschikbaar om deze kwetsbaarheden op te lossen:

• Veeam ONE 12 P20230314 (12.0.1.2591)
• Veeam ONE 11a (11.0.1.1880)
• Veeam ONE 11 (11.0.0.1379)