Veeamの製品で危険度の高い複数の脆弱性
2024年9月 Veeamの製品で危険度の高い複数の脆弱性(CVE-2024-38650,CVE-2024-39714)が発生しています。アップデートで解決できるので対象者は速やかにアップデートする必要があります。
脆弱性の概要
CVE-2024-38650
権限の低い攻撃者が Veeam Service Provider Console サーバー上のサービス アカウントの NTLM ハッシュにアクセスでき、潜在的な横方向の移動やさらなるシステム侵害につながる可能性がある脆弱性でCVSS 9.9とクリティカルで危険度の高い脆弱性
CVE-2024-39714
権限の低いユーザーが任意のファイルをサーバーにアップロードできるようになり、最終的にはリモートコードが実行可能な制御権を付与できます。こちらもCVSS 9.9とクリティカルで危険度の高い脆弱性です
CVE-2024-39715
REST API アクセス権を持つ権限の低いユーザーが任意のファイルをリモートでアップロードできるようになり、リモート コード実行につながる可能性があります。CVSS 8.5と危険度が高い脆弱性です。
CVE-2024-38651
権限の低いユーザーが Veeam Service Provider Console サーバー上のファイルを上書きできるようになり、リモート コード実行も容易になります。
各脆弱性の対策
全ての脆弱性はバージョンアップして解決します。
引用