Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidad crítica en MOVEit

10 Jul 2023

INTRODUCCIÓN

Progress Software ha publicado un nuevo parche que cubre vulnerabilidades críticas. Es importante haber aplicado también el parche de mayo.

ANÁLISIS

CVE-2023-36934 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9.8:

Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Progress Software MOVEit Transfer. No se requiere autenticación para explotar esta vulnerabilidad.

La falla específica existe dentro del punto final human.aspx. Una solicitud manipulada puede desencadenar la ejecución de consultas SQL compuestas a partir de una cadena proporcionada por el usuario. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del usuario moveitsvc.

VERSIONES AFECTADAS

  • MOVEit Transfer 2020.1.6 (12.1.6) o posterior

  • MOVEit Transfer 2020.0.x (12.0.x) o anterior

RECOMENDACIONES

En caso de haber aplicado los parches de Mayo, actualice a MOVEit Transfer 2020.1.11 (12.1.11)

En caso contrario, primero aplique los cambios y posteriormente actualice siguiendo las instrucciones indicadas en el artículo de Progress.

REFERENCIAS

https://community.progress.com/s/article/MOVEit-Transfer-2020-1-Service-Pack-July-2023
https://www.zerodayinitiative.com/advisories/ZDI-23-897/

Artículos relacionados
Ver todas →
Alertas
Aumento en las campañas de ciberdelincuencia utilizando el Covid-19 como gancho
Leer más →
Alertas
Múltiples vulnerabilidades en Cisco Business Process Automation (BPA)
Leer más →
Alertas
Vulnerabilidad de corrupción de memoria en las interfaces de GlobalProtect Portal y Gateway
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día