CVE-2020-15419
CVE-2020-15419
En resumen
Una falla en Veeam ONE permite que atacantes lean archivos sensibles del servidor sin necesidad de contraseña. La vulnerabilidad explota cómo el software procesa archivos XML, permitiendo que atacantes lo engañen para acceder y exponer datos confidenciales.
Detalle técnico
Esta vulnerabilidad XXE en la clase Reporter_ImportLicense carece de validación adecuada de referencias de entidades externas XML. Un atacante no autenticado puede enviar un documento XML manipulado con una URI maliciosa para provocar la divulgación de archivos con privilegios SYSTEM, exponiendo contenidos sensibles del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
This vulnerability allows remote attackers to disclose sensitive information on affected installations of Veeam ONE 10.0.0.750_20200415. Authentication is not required to exploit this vulnerability. The specific flaw exists within the Reporter_ImportLicense class. Due to the improper restriction of XML External Entity (XXE) references, a specially crafted document specifying a URI causes the XML parser to access the URI and embed the contents back into the XML document for further processing. An attacker can leverage this vulnerability to disclose file contents in the context of SYSTEM. Was ZDI-CAN-10710.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
Veeam · ONE¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →