10критическая
BDU:2023-03174 (CVE-2023-34362)
Уязвимость программного обеспечения для обработки и передачи конфиденциальных данных Progress MOVEit Transfer, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-06-16
Описание
Уязвимость программного обеспечения для обработки и передачи конфиденциальных данных Progress MOVEit Transfer связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии
Затрагиваемое ПО и версии
MOVEit Transfer (от 2023.0.0 до 2023.0.2)MOVEit Transfer (от 2022.1.0 до 2022.1.6)MOVEit Transfer (от 2022.0.0 до 2022.0.5)MOVEit Transfer (от 2021.1.0 до 2021.1.5)MOVEit Transfer (от 2021.0.0 до 2021.0.7)MOVEit Transfer (до 2020.1.6 включительно)MOVEit Cloud (от 14.1.0.0 до 14.1.6.97)MOVEit Cloud (15.0.2.39)MOVEit Cloud (от 14.0.0.0 до 14.0.5.45)
Способ устранения
Использование рекомендаций производителя:
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
Компенсирующие меры:
- отключение HTTP и HTTPs-трафика (на портах 80 и 443);
- удаление неавторизованных файлов и учетных записей пользователей;
- сброс учетных данных учетной записи службы MOVEit.
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи