Търсене
Close this search box.

Още един критичен SQLi недостатък в MOVEit Transfer

Progress Software обяви откриването и поправката на критична уязвимост в SQL инжекция в MOVEit Transfer, популярен софтуер, използван за сигурно прехвърляне на файлове. Освен това Progress Software е закърпила две други уязвимости с висока степен на опасност.

Установената уязвимост за SQL инжектиране, обозначена като CVE-2023-36934, потенциално може да позволи на неавтентифицирани нападатели да получат неоторизиран достъп до базата данни на MOVEit Transfer.

Уязвимостите SQL injection са добре познат и опасен недостатък на сигурността, който позволява на нападателите да манипулират базите данни и да изпълняват какъвто код пожелаят. Нападателите могат да изпращат специално разработени полезни товари до определени крайни точки на засегнатото приложение, които могат да променят или разкрият чувствителни елементи от  базата данни.

Причината, поради която CVE-2023-36934 е толкова критична, е, че тя може да бъде използвана, без да е необходимо да сте влезли в системата. Това означава, че дори нападатели без валидни идентификационни данни могат потенциално да се възползват от уязвимостта. Засега обаче няма съобщения за активно използване на тази конкретна уязвимост от нападатели.

Това откритие идва след поредица от скорошни кибератаки, които използваха различна уязвимост за инжектиране на SQL (CVE-2023-34362), за да атакуват MOVEit Transfer с рансъмуер Clop. Тези атаки доведоха до кражба на данни и изнудване за пари от засегнатите организации.

Тази последна актуализация на сигурността от Progress Software адресира и две други уязвимости с висока степен на опасност: CVE-2023-36932 и CVE-2023-36933.

CVE-2023-36932 е недостатък при SQL инжектиране, който може да бъде използван от атакуващи, които са влезли в системата, за да получат неоторизиран достъп до базата данни MOVEit Transfer. CVE-2023-36933, от друга страна, е уязвимост, която позволява на нападателите неочаквано да изключат програмата MOVEit Transfer.

Изследователите от HackerOne и инициативата Zero Day на Trend Micro отговорно са докладвали на Progress Software за тези уязвимости.

Тези уязвимости засягат множество версии на MOVEit Transfer, включително 12.1.10 и предишни версии, 13.0.8 и предишни версии, 13.1.6 и предишни версии, 14.0.6 и предишни версии, 14.1.7 и предишни версии и 15.0.3 и предишни версии.

Progress Software е предоставила необходимите актуализации за всички основни версии на MOVEit Transfer. На потребителите се препоръчва да актуализират до най-новата версия на MOVEit Transfer, за да намалят рисковете, породени от тези уязвимости.

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
Бъдете социални
Още по темата
20/06/2024

Сериозна уязвимост на Phoen...

Стотици модели компютри и сървъри, които...
11/06/2024

Нова уязвимост на PHP излаг...

Появиха се подробности за нов критичен...
27/05/2024

Несигурната екосистема на M...

Срив на системата доведе до срив...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!