聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这5个漏洞如下:
CVE-2024-40711 (CVSS: 9.8) ——该漏洞位于Veeam Backup & Replication中,可导致未认证远程代码执行后果。
CVE-2024-42024 (CVSS: 9.1) ——该漏洞位于Veeam ONE中,可导致拥有 Agent 服务账户凭据的攻击者在底层机器上实施远程代码执行。
CVE-2024-42019 (CVSS: 9.0) ——该漏洞位于 Veeam ONE中,可导致攻击者访问 Veeam Reporter Service 服务账户的 NTLM 哈希。
CVE-2024-38650 (CVSS: 9.9) ——该漏洞位于 Veeam Service Provider Console (VPSC) 中,可导致低权限攻击者访问服务器上该服务账户的NTLM哈希。
CVE-2024-39714 (CVSS: 9.9) ——该漏洞位于VPSC中,可导致低权限用户将任意文件上传至服务器,在服务器上实施远程代码执行。
另外,2024年9月更新还修复了13个其它高危缺陷,它们可导致权限提升、多因素认证绕过以及通过提权执行代码等。
所有漏洞已在如下版本中修复:
Veeam Backup & Replication 12.2 (build 12.2.0.334)
Veeam Agent for Linux 6.2 (build 6.2.0.101)
Veeam ONE v12.2 (build 12.2.0.4093)
Veeam Service Provider Console v8.1 (build 8.1.0.21377)
Veeam Backup for Nutanix AHV Plug-In v12.6.0.632
Veeam Backup for Oracle Linux Virtualization Manager 和 Red Hat Virtualization Plug-In v12.5.0.299
Veeam 软件漏洞可使用户成为威胁行动者传播勒索软件的有诱惑力的目标,建议用户尽快更新至最新版本以缓解潜在威胁。
https://thehackernews.com/2024/09/veeam-releases-security-updates-to-fix.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~