ГлавнаяБаза уязвимостей БДУ → BDU:2024-06754
9критическая

BDU:2024-06754

Уязвимость функции загрузки файлов программного средства резервного копирования и восстановления данных для удалённых и облачных клиентов Veeam Service Provider Console (VSPC), позволяющая нарушителю выполнить произвольный код на сервере VSPC
Опубликовано: 2024-09-09
Описание

Уязвимость функции загрузки файлов программного средства резервного копирования и восстановления данных для удалённых и облачных клиентов Veeam Service Provider Console (VSPC) связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код на сервере VSPC

Затрагиваемое ПО и версии
Veeam Service Provider Console (VSPC) (до 8.0.0.19552 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение доступа к директориям с правами «только чтение»;
- открытие файлов, полученных из недоверенных источников с использованием изолированной программной среды (песочницы);
- использование антивирусного программного обеспечения для проверки загружаемых файлов.

Использование рекомендаций производителя:
https://www.veeam.com/kb4649

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://www.veeam.com/kb4649
Проверьте безопасность своего сайта и почты → Полная проверка домена