Security Advisory ID: NSKPSA-2022-001
Severity Rating: High
First Communicated: Mar 21, 2022
Overall CVSS Score: 8.4
Version: 1.0
Description
Netskope Client se ve afectado por una vulnerabilidad en la que un atacante local autenticado puede ver información confidencial almacenada en registros de NSClient que debería estar restringida. La vulnerabilidad existe porque la información confidencial no se enmascara ni se elimina antes de escribirla en los registros. Un usuario malintencionado puede utilizar la información confidencial para descargar datos y hacerse pasar por otro usuario.
CWE-532: Inserción de información confidencial en un archivo de registro
Affected Product(s) and Version(s)
Netskope Client vR91 and Prior
CVE-ID(s)
CVE-2021-44862
Remediation
Netskope has patched this vulnerability and released a new version. All customers
are recommended to upgrade their NSClients to the latest version. To download
latest version, please refer to download Instructions at Download Netskope Client and Scripts – Netskope Support.
Referencia de Netskope
https://support.netskope.com/s/article/NSKPSA-2022-001-Netskope-Security-Advisory-Sensitive-information-in-audit-logs.
Workaround
No existen soluciones para esta vulnerabilidad aparte de actualizar a la última versión.
General Security Best Practices
Siga las configuraciones de inquilinos seguros para mejorar la seguridad de los inquilinos que se enumeran en https://support.netskope.com/s/article/Secure-Tenant-Configuration.
Special Notes and Acknowledgement
Netskope le da crédito a Ben O'Dea y Josh Wilson de IAG Australia por informar sobre esta vulnerabilidad.
Exploitation and Public Disclosures
Netskope is not aware of any public exploitation or disclosures before this date.
Revision History
Versión | Fecha | Section | Notes |
---|---|---|---|
1.0 | Mar 21, 2022 | Initial Disclosure |
Nota legal
En la medida máxima permitida por la ley aplicable, la información proporcionada en este aviso se proporciona "tal cual" sin garantía de ningún tipo. El uso que usted haga de la información contenida en este aviso o de los materiales vinculados aquí es bajo su propio riesgo. Este aviso y todos los aspectos de la Política de respuesta a incidentes de seguridad de productos de Netskope están sujetos a cambios sin previo aviso. No se garantiza la respuesta para ningún problema o clase de problemas específicos. Sus derechos con respecto a garantías, soporte y mantenimiento, incluidas las vulnerabilidades en cualquier software o servicio de Netskope, se rigen únicamente por el acuerdo marco aplicable entre Netskope y usted. Las declaraciones en este aviso no modifican, amplían ni modifican de otro modo ninguno de sus derechos según el acuerdo marco aplicable, ni crean garantías o compromisos adicionales.