漏洞标题
N/A
漏洞描述信息
这个漏洞允许远程攻击者泄露 Veeam ONE 10.0.0.750_20200415 受影响的系统中敏感信息。利用此漏洞不需要进行身份验证。具体缺陷存在于 SSRSReport 类中。由于 XML 外部实体 (XXE) 引用的不当限制,一份特定制作的文档指定一个 URI,会导致 XML 解析器访问 URI,并将内容嵌入到 XML 文档中进行进一步处理。攻击者可以利用此漏洞在系统上下文中泄露文件内容。Was ZDI-CAN-10709。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
This vulnerability allows remote attackers to disclose sensitive information on affected installations of Veeam ONE 10.0.0.750_20200415. Authentication is not required to exploit this vulnerability. The specific flaw exists within the SSRSReport class. Due to the improper restriction of XML External Entity (XXE) references, a specially crafted document specifying a URI causes the XML parser to access the URI and embed the contents back into the XML document for further processing. An attacker can leverage this vulnerability to disclose file contents in the context of SYSTEM. Was ZDI-CAN-10709.
CVSS信息
N/A
漏洞类别
XML外部实体引用的不恰当限制(XXE)
漏洞标题
Veeam ONE 代码问题漏洞
漏洞描述信息
Veeam ONE是瑞士Veeam公司的一套IT监控和报告工具。该产品支持备份监控、虚拟和物理环境的运行状况监控等功能。 Veeam ONE 10.0.0.750_20200415版本中的SSRSReport类存在代码问题漏洞,该漏洞源于程序没有正确限制XML外部实体的引用。攻击者可借助特制文档利用该漏洞导致信息泄露。
CVSS信息
N/A
漏洞类别
代码问题