Vulnérabilité d’exécution de code à distance dans Veritas NetBackup

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/014

Date de l’alerte : 07/03/2024

APERÇU :

Veritas NetBackup est affecté par une vulnérabilité de type exécution de code à distance permettant à un acteur malveillant d’exécuter des codes arbitraires. 

DESCRIPTION :

Veritas NetBackup est une solution logicielle complète de sauvegarde et de récupération des données destinée aux entreprises et qui offre des fonctionnalités robustes de protection des données dans des environnements physiques, virtuels et cloud. 

Elle présente une vulnérabilité libellée CVE-2024-28222, qui permettrait à un acteur malveillant non authentifié d’injecter du code arbitraire sur les serveurs et les clients NetBackup. Elle est due à une vérification inadéquate des chemins des fichiers, permettant à un attaquant non authentifié de télécharger et d’exécuter un fichier personnalisé. 

Cette vulnérabilité est classée critique avec un score CVSS3 de 9.8.

IMPACT :

  • Compromission du serveur ; 
  • Élévation de privilège ; 
  • Fuite de données sensibles. 

SYSTÈMES AFFECTÉS : 

  • Toutes les versions de NetBackup antérieures à la version 8.1.2.
  • Toutes les versions de NetBackup Appliance antérieures à la version 3.1.2.

MESURES À PRENDRE : 

  • Mettre à jour NetBackup vers la version 8.3.0.2 ou ultérieure.
  • Mettre à jour NetBackup Appliance vers la version 3.3.0.2 ou ultérieure. 

RÉFÉRENCES :

Partagez sur vos réseaux.