CVE-2023-41723
CVE-2023-41723
Em resumo
Um usuário com acesso somente leitura no Veeam ONE consegue visualizar o Agendamento do Dashboard, que deveria ser restrito. Embora não possa fazer alterações, essa exposição de informações permite visualização não autorizada de dados sensíveis de agendamento.
Detalhe técnico
CWE-922 (Restrição Imprópria do Canal de Comunicação para Endpoints Pretendidos) permite que um usuário somente leitura acesse o endpoint do Dashboard Schedule sem controles de autorização apropriados. O ataque requer credenciais válidas de leitura; o impacto é limitado à divulgação de informações, pois capacidades de modificação estão ausentes.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability in Veeam ONE allows a user with the Veeam ONE Read-Only User role to view the Dashboard Schedule. Note: The criticality of this vulnerability is reduced because the user with the Read-Only role is only able to view the schedule and cannot make changes.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Produtos afetados
Veeam · OneQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://www.veeam.com/kb4508