Το MOVEit Transfe, έλαβε μια ενημέρωση που διορθώνει ένα κρίσιμο σφάλμα SQL και δύο άλλες λιγότερο σοβαρές ευπάθειες.
Τα τρωτά σημεία SQL injection επιτρέπουν στους εισβολείς να δημιουργούν ειδικά ερωτήματα για να αποκτήσουν πρόσβαση σε μια βάση δεδομένων ή να την παραβιάσουν εκτελώντας κώδικα. Για να είναι δυνατές αυτές οι επιθέσεις, η εφαρμογή-στόχος πρέπει να υποφέρει από έλλειψη κατάλληλης εξυγίανσης δεδομένων εισόδου/εξόδου.
Η Progress ανακάλυψε πολλά προβλήματα SQL στο προϊόν της, τα οποία περιλαμβάνουν ένα κρίσιμο πρόβλημα που παρακολουθείται ως CVE-2023-36934, το οποίο μπορεί να εκμεταλλευτεί χωρίς έλεγχο ταυτότητας χρήστη.
Έχει εντοπιστεί μια ευπάθεια SQL injection στην εφαρμογή web MOVEit Transfer που θα μπορούσε να επιτρέψει σε έναν εισβολέα χωρίς έλεγχο ταυτότητας να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στη βάση δεδομένων MOVEit Transfer.
Ένας εισβολέας θα μπορούσε να υποβάλει ένα κατασκευασμένο ωφέλιμο φορτίο σε ένα τελικό σημείο εφαρμογής MOVEit Transfer που θα μπορούσε να οδηγήσει σε τροποποίηση και αποκάλυψη του περιεχομένου της βάσης δεδομένων MOVEit.
Το δεύτερο ελάττωμα έγχυσης SQL προσδιορίζεται ως CVE-2023-36932 και έλαβε βαθμολογία υψηλής σοβαρότητας επειδή ένας εισβολέας θα μπορούσε να το εκμεταλλευτεί μετά τον έλεγχο ταυτότητας.
Τα δύο ζητήματα ασφαλείας με έγχυση SQL επηρεάζουν πολλές εκδόσεις του MOVEit Transfer, συμπεριλαμβανομένων 12.1.10 και παλαιότερων, 13.0.8 και παλαιότερες, 13.1.6 και παλαιότερες, 14.0.6 και παλαιότερες, 14.1.7 και παλαιότερες, και 15.0.3 και παλαιότερες .
