MOVEit再现新漏洞,多个版本受影响

安全
Progress Software 已为所有主要 MOVEit Transfer 版本提供了必要的更新,强烈建议用户更新到 MOVEit Transfer 的最新版本,以降低这些漏洞带来的风险。

今年6月,文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞,能让远程攻击者访问其数据库并执行任意代码。最近,MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。

这三个漏洞分别是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934,其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞漏洞有关。

SQL 注入漏洞能让攻击者利用它操纵数据库并运行他们想要的任何代码。攻击者可以将专门设计的有效负载发送到受影响应用程序的某些端点,从而更改或暴露数据库中的敏感数据。

这其中最为严重的漏洞为CVE-2023-36934,能够无需登录即被利用,意味着即使没有有效凭证的攻击者也有可能利用该漏洞,但到目前为止,还没有关于攻击者积极利用此漏洞的报告。

而CVE-2023-36932能让登录的攻击者利用该漏洞来获得对 MOVEit Transfer 数据库的未经授权的访问;CVE-2023-36933 则是一个允许攻击者意外关闭 MOVEit Transfer 程序的漏洞。

MOVEit于今年6月披露的漏洞显示它们已经被Clop 勒索软件组织利用,数千家使用该服务的企业组织受到影响。一直在跟踪局势的 Emsisoft 威胁分析师布雷特·卡洛 (Brett Callow) 表示,至少有 20 所美国学校和超过 1750 万人的信息受到影响。

其他企业,石油巨头壳牌曾在6月15日证实自己受到了MOVEit漏洞的影响,英国广播公司BBC 和英国航空公司 (BA) 、南非零售巨头Clicks等企业也表示自己是受害者。

此次新批露的漏洞影响多个 MOVEit Transfer 版本,但目前均已被MOVEit Transfer修复。Progress Software 已为所有主要 MOVEit Transfer 版本提供了必要的更新,强烈建议用户更新到 MOVEit Transfer 的最新版本,以降低这些漏洞带来的风险。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-06-12 18:55:22

2020-07-09 15:13:07

漏洞Spring ClouTomcat

2017-03-07 10:34:40

Struts2Struts2漏洞

2023-05-08 19:28:11

2014-04-29 11:18:27

2022-01-27 10:07:58

PwnKit漏洞攻击

2020-10-15 12:24:46

Linux漏洞攻击

2013-09-24 18:05:40

2023-07-27 16:48:13

2016-12-26 16:21:11

2020-07-24 16:11:45

网络安全网络安全技术周刊

2014-10-31 09:46:25

FTP远程执行漏洞安全漏洞

2024-04-11 13:17:56

2011-10-09 15:03:15

手机

2014-04-09 14:41:55

2014-10-30 14:02:26

LinuxFTP漏洞

2021-01-28 17:32:44

Sudo漏洞Linux发行版

2009-05-30 10:04:56

2021-09-15 05:24:22

iPhone漏洞苹果

2022-08-15 08:28:52

漏洞底层框架Electron
点赞
收藏

51CTO技术栈公众号