Progress MOVEit Transfer < 2020.1.9 / 2021.0.x < 2021.0.7 / 2021.1.x < 2021.1.5 / 2022.0.x < 2022.0.5 / 2022.1.x < 2022.1.6 / 2023.0.x < 2023.0.2 重大な脆弱性 (2023 年 6 月)
critical Nessus プラグイン ID 177082
Language:
概要
リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。説明
リモートホストにインストールされている Progress MOVEit Transfer (旧称: Ipswitch MOVEit DMZ) のバージョンは 2020.1.9、2021.0.7、2021.1.5、2022.0.5、2022.1.6 より前、または 2023.0.2 です。したがって、Progress Community の記事 000234899 に記載されている、SQL インジェクションの脆弱性の影響を受けます。- MOVEit Transfer Web アプリケーションに複数の SQL インジェクションの脆弱性が特定されました。これにより、認証されていない攻撃者が MOVEit Transfer データベースに不正アクセスする可能性があります。攻撃者が細工されたペイロードを MOVEit Transfer アプリケーションエンドポイントに送信することで、MOVEit データベースコンテンツが変更および漏洩される可能性があります。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Progress MOVEit Transfer バージョン 2020.1.9、2021.0.7、2021.1.5、2022.0.5、2022.1.6、2023.0.2 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 177082
ファイル名: progress_moveit_transfer_15_0_2_39.nasl
バージョン: 1.3
タイプ: local
エージェント: windows
ファミリー: Windows
公開日: 2023/6/9
更新日: 2023/6/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
CVSS スコアの根本的理由: Score based on analysis of the vendor advisory.
VPR
リスクファクター: Medium
スコア: 5.2
CVSS v2
リスクファクター: High
基本値: 7.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: manual
CVSS v3
リスクファクター: Critical
基本値: 9.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
脆弱性情報
CPE: cpe:/a:ipswitch:moveit_dmz, cpe:/a:ipswitch:moveit_transfer, cpe:/a:progress:moveit_transfer
パッチ公開日: 2023/6/9
脆弱性公開日: 2023/6/9
参照情報
CVE: CVE-2023-35036