Merhaba

Veeam ONE ürününde keşfedilen dört güvenlik açığı ( iki kritik ve iki orta) nedeniyle güvenlik güncelleştirmesi yayınladı.

KB4508: CVE-2023-38547 | CVE-2023-38548 | CVE-2023-38549 | CVE-2023-41723 (veeam.com)

Etkilenen ürün : Veeam ONE
Sürümler : Veeam ONE 11, 11a, 12

CVE-2023-38547 

Veeam ONE’daki bir güvenlik açığı, kimliği doğrulanmamış bir kullanıcının Veeam ONE’ın yapılandırma veritabanına erişmek için kullandığı SQL sunucu bağlantısı hakkında bilgi edinmesine olanak tanır.
Bu, Veeam ONE yapılandırma veritabanını barındıran SQL sunucusunda uzaktan kod yürütülmesine yol açabilir.

Etkilenen Sürümler : Veeam ONE 11, 11a, 12
Önem derecesi: Kritik

CVE-2023-38548

Veeam ONE’daki bir güvenlik açığı, Veeam ONE Web İstemcisi’ne erişimi olan ayrıcalıksız bir kullanıcının Veeam ONE Raporlama Hizmeti tarafından kullanılan hesabın NTLM karmasını elde etmesine olanak tanır.

Etkilenen Sürümler : Veeam ONE 11, 11a, 12
Önem derecesi: Kritik

CVE-2023-38549

Veeam ONE’daki bir güvenlik açığı, Veeam ONE Power User rolüne sahip bir kullanıcının XSS kullanarak Veeam ONE Administrator rolüne sahip bir kullanıcının erişim belirtecini elde etmesine olanak tanır.
Not: Bu güvenlik açığının kritikliği, Veeam ONE Yönetici rolüne sahip bir kullanıcı tarafından etkileşim gerektirdiği için azaltılmıştır.

Etkilenen Sürümler : Veeam ONE 11, 11a, 12
Önem derecesi: Orta

CVE-2023-41723

Veeam ONE’daki bir güvenlik açığı, Veeam ONE Salt Okunur Kullanıcı rolüne sahip bir kullanıcının Gösterge Tablosu Zamanlamasını görüntülemesine olanak tanır.
Not: Salt Okunur rolüne sahip kullanıcı yalnızca zamanlamayı görüntüleyebildiği ve değişiklik yapamadığı için bu güvenlik açığının kritikliği azalır.

Etkilenen Sürümler : Veeam ONE 11, 11a, 12
Önem derecesi: Orta