Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos NetBackup Flex Scale y Access Appliance de Veritas, que permitirían a un atacante no autenticado realizar ejecución remota de código (RCE) en el sistema afectado, obtener escalamiento de privilegios, entre otros.
Las vulnerabilidades reportadas se componen de 1(una) de severidad “Crítica” y 3 (tres) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2022-46414, de severidad “crítica” y puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla de seguridad en un componente desconocido de Veritas NetBackup Flex Scale y Access Appliance. Un atacante no autenticado podría realizar ejecución remota de comandos en los sistemas afectados.
- CVE-2022-46413, de severidad “alta” y puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad que afecta a Veritas NetBackup Flex Scale y Access Appliance a través del portal de administración. Un atacante autenticado podría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-46411, de severidad “alta” y puntuación asignada de 8.8. Esta vulnerabilidad se debe a un problema en Veritas NetBackup Flex Scale y Access Appliance. Un atacante no autenticado podría aprovechar esta vulnerabilidad y realizar escalamiento de privilegios en el sistema afectado.
Puede acceder al listado completo de vulnerabilidades aquí.
Los productos afectados de Veritas son:
- NetBackup Flex Scale, versión 3.0 y versiones anteriores.
- Access Appliance, versión 8.0.100 y versiones anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por Veritas en el siguiente enlace:
Referencias:
- https://securityonline.info/cve-2022-46414-veritas-netbackup-flex-scale-unauthenticated-rce-vulnerability/
- https://www.veritas.com/content/support/en_US/security/VTS22-019
- https://nvd.nist.gov/vuln/detail/CVE-2022-46414
- https://nvd.nist.gov/vuln/detail/CVE-2022-46413
- https://nvd.nist.gov/vuln/detail/CVE-2022-46411
- https://nvd.nist.gov/vuln/detail/CVE-2022-46412
- https://nvd.nist.gov/vuln/detail/CVE-2022-46410
- https://www.veritas.com/protection/netbackup