CVE-2023-35708


2023. június 16. 10:54

Progress MOVEit Transfer sérülékenysége
Angol cím: Progress MOVEit Transfer vulnerability

Publikálás dátuma: 2023.06.16.
Utolsó módosítás dátuma: 2023.06.16.

Leírás

SQL injektálás:A program nem, vagy helytelenül semlegesíti azokat az elemeket a bemenetből, melyek módosíthatják a tervezett SQL parancsot, amikor az a szerver komponensnek kerül elküldésre. A sérülékenység kihasználásával jogosultság kiterjesztés érhető el a támadó számára, mely segítségével átveheti az irányítást az érintett rendszer felett.

Leírás forrása: CWE-89

Elemzés leírás

Eredeti nyelven: In Progress MOVEit Transfer before 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), and 2023.0.3 (15.0.3), a SQL injection vulnerability has been identified in the MOVEit Transfer web application that could allow an unauthenticated attacker to gain unauthorized access to MOVEit Transfer’s database. An attacker could submit a crafted payload to a MOVEit Transfer application endpoint that could result in modification and disclosure of MOVEit database content. These are fixed versions of the DLL drop-in: 2020.1.10 (12.1.10), 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7), and 2023.0.3 (15.0.3).

Elemzés leírás forrása: nvd.nist.gov

Hatás

CVSS3.1 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

Következmények

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

community.progress.com
cisa.gov
progress.com

Sérülékeny szoftverek

MOVEit Transfer 2023.0.x (15.0.x) 
MOVEit Transfer 2022.1.x (14.1.x) 
MOVEit Transfer 2022.0.x (14.0.x) 
MOVEit Transfer 2021.1.x (13.1.x)
MOVEit Transfer 2021.0.x (13.0.x)
MOVEit Transfer 2020.1.x (12.1)
MOVEit Transfer 2020.0.x (12.0) vagy régebbi

Címkék

MOVEit Progress Software

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »