CVE-2023-38547
CVE-2023-38547
En resumen
Un atacante no autenticado puede descubrir información sensible de conexión del servidor SQL que utiliza Veeam ONE, lo que podría llevar a ejecución remota de código en el servidor de base de datos. Es crítico porque expone credenciales de base de datos sin requerir autenticación.
Detalle técnico
Vulnerabilidad de divulgación de información (CWE-200) en Veeam ONE que permite acceso no autenticado a cadenas de conexión y credenciales del SQL Server. Un atacante puede aprovechar esta información expuesta para autenticarse en la base de datos subyacente y lograr ejecución remota de código a través de inyección SQL o exploits a nivel de base de datos, eludiendo controles de seguridad de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability in Veeam ONE allows an unauthenticated user to gain information about the SQL server connection Veeam ONE uses to access its configuration database. This may lead to remote code execution on the SQL server hosting the Veeam ONE configuration database.
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Veeam · One¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://www.veeam.com/kb4508