QUEST corrige plus de 60 vulnérabilités différentes dans ses produits

Un total de plus de 60 vulnérabilités a été corrigé dans les dispositifs de sauvegarde et de gestion système de Quest. La vulnérabilité la plus critique identifiée permettrait à un attaquant distant et non authentifié d'exécuter des commandes système arbitraires via le paramètre "password" du processus de connexion.

Parmi les vulnérabilités identifiées on retrouve :

  • 45 vulnérabilités d'injection et 6 vulnérabilités d'élévation de privilèges impactant Quest DR. Ces vulnérabilités affectent les versions 4.0.3 et antérieures du logiciel de sauvegarde Quest DR Series. Elles ont été corrigées avec la version 4.0.3.1.
  • 11 failles impactent la gestion de systèmes KACE de Quest. Trois de ces vulnérabilités pourraient provoquer une injection de commandes, dont une pourrait être exploitée par un attaquant non authentifié. La liste des failles de sécurité de ce produit inclut également une élévation de privilèges, une injection SQL, des scripts XSS (cross-site scripting) et des failles de traversée de répertoire. Les vulnérabilités ont été corrigées pour les versions 7.0, 7.1, 7.2, 8.0 et 8.1 de Quest KACE System Management Appliance.