TLP:CLEAR PAP:WHITE
Nuevas vulnerabilidades en Progress Software MOVEit Transfer
Descripción
Se han descubierto múltiples vulnerabilidades en Progress Software MOVEit Transfer. Permiten que un atacante provoque una ejecución remota de código arbitrario y una denegación de servicio remota.
CVE-2023-36934 (CRÍTICA). Se ha identificado una vulnerabilidad de inyección SQL en la aplicación web MOVEit Transfer que podría permitir un atacante no autenticado para obtener acceso no autorizado a la base de datos de MOVEit Transfer. Un atacante podría enviar una carga útil manipulada a un extremo de la aplicación de transferencia de MOVEit, lo que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit.
CVE-2023-36932 (ALTA). Se identificaron múltiples vulnerabilidades de inyección SQL en la aplicación web MOVEit Transfer que podrían permitir que un atacante autenticado obtenga acceso no autorizado a la base de datos de MOVEit Transfer. Un atacante podría enviar una carga útil manipulada a un extremo de la aplicación de transferencia de MOVEit, lo que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit.
CVE-2023-36933 (ALTA). Es posible que un atacante invoque un método que resulte en una excepción no controlada. La activación de este flujo de trabajo puede hacer que la aplicación MOVEit Transfer finalice inesperadamente.
CVE-2023-36934 (CRÍTICA). Se ha identificado una vulnerabilidad de inyección SQL en la aplicación web MOVEit Transfer que podría permitir un atacante no autenticado para obtener acceso no autorizado a la base de datos de MOVEit Transfer. Un atacante podría enviar una carga útil manipulada a un extremo de la aplicación de transferencia de MOVEit, lo que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit.
CVE-2023-36932 (ALTA). Se identificaron múltiples vulnerabilidades de inyección SQL en la aplicación web MOVEit Transfer que podrían permitir que un atacante autenticado obtenga acceso no autorizado a la base de datos de MOVEit Transfer. Un atacante podría enviar una carga útil manipulada a un extremo de la aplicación de transferencia de MOVEit, lo que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit.
CVE-2023-36933 (ALTA). Es posible que un atacante invoque un método que resulte en una excepción no controlada. La activación de este flujo de trabajo puede hacer que la aplicación MOVEit Transfer finalice inesperadamente.
Productos afectados
- MOVEit Transfer versiones 2023.0.x anteriores a 2023.0.4 (15.0.4)
- MOVEit Transfer versiones 2022.1.x anteriores a 2022.1.8 (14.1.8)
- MOVEit Transfer versiones 2022.0.x anteriores a 2022.0.7 (14.0.7)
- MOVEit Transfer versiones 2021.1.x anteriores a 2021.1.7 (13.1.7)
- MOVEit Transfer versiones 2021.0.x anteriores a 2021.0.9 (13.0.9)
- MOVEit Transfer versiones 2020.1.6 (12.1.6) y posteriores
- MOVEit Transfer versiones 2020.0.x (12.0.x) y anteriores
Riesgo
Crítico
Soluciones
Consulte el boletín de seguridad del editor para obtener parches (consulte la sección Referencias).
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es