Производителят на продукти за защита на данни Veeam пусна актуализация за справяне с критична уязвимост, засягаща Veeam Service Provider Console (VSPC), която, ако бъде използвана, може да доведе до отдалечено изпълнение на код (RCE).

Проследена като CVE-2024-42448 с оценка по CVSS 9,9, уязвимостта е открита от Veeam по време на вътрешно тестване.

Veeam откри друга уязвимост в процеса, CVE-2024-42449, с висока CVSS оценка 7,1, която може да доведе до изтичане на NTLM хеш на сервизния акаунт на VSPC сървъра и да изтрие файлове от машината.

И двете уязвимости засягат VSPC 8.1.0.21377 и всички по-ранни версии на 7 и 8 компилации.

„Тези доставчици на услуги често се доверяват на инструментите на своите доставчици от трети страни, за да управляват данните на клиентите и да осигурят непрекъснатост на бизнеса“, пише Елад Луз, ръководител на изследванията в Oasis Security, в изявление, изпратено по имейл до Dark Reading. „Когато тези доставчици, като Veeam, имат уязвимости, които позволяват отдалечено изпълнение на код, това излага критичната инфраструктура за архивиране на потенциална експлоатация. В индустриите, в които сигурността на данните е от първостепенно значение, като например финансите, здравеопазването и правните услуги, рискът се засилва, тъй като в тези сектори се съхраняват чувствителни данни, които са привлекателни за киберпрестъпниците.“

Тъй като няма налични смекчаващи мерки за тези уязвимости, Veeam препоръчва на потребителите на поддържаните версии на VSPC да актуализират до последната кумулативна кръпка.

Източник: DARKReading

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
Бъдете социални
Още по темата
23/01/2025

Cisco поправя критична уязв...

В сряда Cisco обяви кръпки за...
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
15/01/2025

Adobe: Критични дефекти при...

Във вторник производителят на софтуер Adobe...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!