Veeam Backup & Replication 10.x and 11.x has Incorrect Access Control (issue 1 of 2).
oryginał ENCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HVeeam Backup \& Replication
APPVeeam10.0.1.485411.0.1.126110.0.0.4442 – 10.0.1.4854 (bez)11.0.0.825 – 11.0.1.1261 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Veeam
- Produkti
- Backup & Replication
- Data dodania do KEVi
- 13 grudnia 2022
- Termin remediation (USA)i
- 3 stycznia 2023(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj aktualizacje zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
Apply updates per vendor instructions.
Usługa Veeam Distribution Service w aplikacji Backup & Replication pozwala niezauwierzytelnianym użytkownikom na dostęp do wewnętrznych funkcji API. Zdalny atakujący może wysłać dane wejściowe do wewnętrznego API, co może prowadzić do przesłania i wykonania złośliwego kodu.
▸ Pokaż oryginał (EN)
The Veeam Distribution Service in the Backup & Replication application allows unauthenticated users to access internal API functions. A remote attacker can send input to the internal API which may lead to uploading and executing of malicious code.
Powiązane podatności
Krytyczne RCE przez deserialization w Veeam Backup & Replication
RCE w Veeam Backup & Replication dla uwierzytelnionych użytkowników domenowych
RCE dla uwierzytelnionego użytkownika domenowego w Veeam Backup & Replication
RCE w Veeam Backup & Replication dla uwierzytelnionego użytkownika domenowego
RCE dla administratora kopii zapasowych w Veeam Backup & Replication (HA)