Progress Software обяви откриването и поправката на критична уязвимост в SQL инжекция в MOVEit Transfer, популярен софтуер, използван за сигурно прехвърляне на файлове. Освен това Progress Software е закърпила две други уязвимости с висока степен на опасност.

Установената уязвимост за SQL инжектиране, обозначена като CVE-2023-36934, потенциално може да позволи на неавтентифицирани нападатели да получат неоторизиран достъп до базата данни на MOVEit Transfer.

Уязвимостите SQL injection са добре познат и опасен недостатък на сигурността, който позволява на нападателите да манипулират базите данни и да изпълняват какъвто код пожелаят. Нападателите могат да изпращат специално разработени полезни товари до определени крайни точки на засегнатото приложение, които могат да променят или разкрият чувствителни елементи от  базата данни.

Причината, поради която CVE-2023-36934 е толкова критична, е, че тя може да бъде използвана, без да е необходимо да сте влезли в системата. Това означава, че дори нападатели без валидни идентификационни данни могат потенциално да се възползват от уязвимостта. Засега обаче няма съобщения за активно използване на тази конкретна уязвимост от нападатели.

Това откритие идва след поредица от скорошни кибератаки, които използваха различна уязвимост за инжектиране на SQL (CVE-2023-34362), за да атакуват MOVEit Transfer с рансъмуер Clop. Тези атаки доведоха до кражба на данни и изнудване за пари от засегнатите организации.

Тази последна актуализация на сигурността от Progress Software адресира и две други уязвимости с висока степен на опасност: CVE-2023-36932 и CVE-2023-36933.

CVE-2023-36932 е недостатък при SQL инжектиране, който може да бъде използван от атакуващи, които са влезли в системата, за да получат неоторизиран достъп до базата данни MOVEit Transfer. CVE-2023-36933, от друга страна, е уязвимост, която позволява на нападателите неочаквано да изключат програмата MOVEit Transfer.

Изследователите от HackerOne и инициативата Zero Day на Trend Micro отговорно са докладвали на Progress Software за тези уязвимости.

Тези уязвимости засягат множество версии на MOVEit Transfer, включително 12.1.10 и предишни версии, 13.0.8 и предишни версии, 13.1.6 и предишни версии, 14.0.6 и предишни версии, 14.1.7 и предишни версии и 15.0.3 и предишни версии.

Progress Software е предоставила необходимите актуализации за всички основни версии на MOVEit Transfer. На потребителите се препоръчва да актуализират до най-новата версия на MOVEit Transfer, за да намалят рисковете, породени от тези уязвимости.

Източник: The Hacker News

Подобни публикации

12 февруари 2025

Deepfake, изкуствен интелект, регулации - опред...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на Полиграфическия комбина...
12 февруари 2025

Несправедливата реалност на киберинцидентите

Неотдавна мой чудесен колега се контузи доста тежко по време на зим...
12 февруари 2025

SAP пуска 21 кръпки за сигурност

Производителят на корпоративен софтуер SAP обяви във вторник пускан...
12 февруари 2025

Intel поправи 374 уязвимости през 2024 г.

През календарната 2024 г. Intel е поправила общо 374 уязвимости в с...
11 февруари 2025

Ключови фигури от Phobos и 8Base са арестувани ...

Координирана международна акция на правоприлагащите органи миналата...
11 февруари 2025

Поведенчески анализ в киберсигурността: Кой има...

Тъй като разходите за нарушаване на сигурността на данните продължа...
11 февруари 2025

120 хил. жертви са компрометирани при атака с р...

В Бейнбридж, щата Джорджия, малката болница Memorial Hospital and M...
Бъдете социални
Още по темата
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
12/02/2025

Intel поправи 374 уязвимост...

През календарната 2024 г. Intel е...
11/02/2025

Над 12 000 защитни стени Ke...

Над дванадесет хиляди екземпляра на защитната...
Последно добавени
12/02/2025

Deepfake, изкуствен интелек...

Снощи, 11.02.2025 г., зала ‚Йоханесбург‘ на...
12/02/2025

Несправедливата реалност на...

Неотдавна мой чудесен колега се контузи...
12/02/2025

SAP пуска 21 кръпки за сигу...

Производителят на корпоративен софтуер SAP обяви...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!