Progress MOVEit Transfer sérülékenysége
Angol cím: Progress MOVEit Transfer vulnerability
Publikálás dátuma: 2023.06.16.
Utolsó módosítás dátuma: 2023.06.16.
Leírás
SQL injektálás:A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett SQL parancsot, amikor az a szerver komponensnek kerül elküldésre. A sérülékenység kihasználásával jogosultság kiterjesztés érhető el a támadó számára, mely segítségével átveheti az irányítást az érintett rendszer felett.
Leírás forrása: CWE-89Elemzés leírás
Eredeti nyelven: In Progress MOVEit Transfer before 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), and 2023.0.3 (15.0.3), a SQL injection vulnerability has been identified in the MOVEit Transfer web application that could allow an unauthenticated attacker to gain unauthorized access to MOVEit Transfer’s database. An attacker could submit a crafted payload to a MOVEit Transfer application endpoint that could result in modification and disclosure of MOVEit database content. These are fixed versions of the DLL drop-in: 2020.1.10 (12.1.10), 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), and 2023.0.3 (15.0.3).
Elemzés leírás forrása: nvd.nist.govHatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
MOVEit Transfer 2023.0.x (15.0.x)
MOVEit Transfer 2022.1.x (14.1.x)
MOVEit Transfer 2022.0.x (14.0.x)
MOVEit Transfer 2021.1.x (13.1.x)
MOVEit Transfer 2021.0.x (13.0.x)
MOVEit Transfer 2020.1.x (12.1)
MOVEit Transfer 2020.0.x (12.0) vagy régebbi