ГлавнаяБаза уязвимостей БДУ → BDU:2023-03175
10критическая

BDU:2023-03175 (CVE-2023-35036)

Уязвимость программного обеспечения для обработки и передачи конфиденциальных данных Progress MOVEit Transfer, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнять произвольные SQL-запросы к базе данных
Опубликовано: 2023-06-16
Описание

Уязвимость программного обеспечения для обработки и передачи конфиденциальных данных Progress MOVEit Transfer связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные SQL-запросы к базе данных

Затрагиваемое ПО и версии
MOVEit Transfer (от 2023.0.0 до 2023.0.2)MOVEit Transfer (от 2022.1.0 до 2022.1.6)MOVEit Transfer (от 2022.0.0 до 2022.0.5)MOVEit Transfer (от 2021.1.0 до 2021.1.5)MOVEit Transfer (от 2021.0.0 до 2021.0.7)MOVEit Transfer (до 2020.1.6 включительно)MOVEit Cloud (от 14.1.0.0 до 14.1.6.97)MOVEit Transfer (от 2020.1.0 до 2020.1.9)MOVEit Cloud (15.0.2.39)MOVEit Cloud (от 14.0.0.0 до 14.0.5.45)
Способ устранения

Использование рекомендаций производителя:
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-2023-35036-June-9-2023

Компенсирующие меры:
- отключение HTTP и HTTPs-трафика (на портах 80 и 443);
- удаление неавторизованных файлов и учетных записей пользователей;
- сброс учетных данных учетной записи службы MOVEit.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-CVE-2023-35036-June-9-2023https://archive.is/58ty7https://www.cybersecurity-help.cz/vdb/SB2023061231
Проверьте безопасность своего сайта и почты → Полная проверка домена