CVE

Vulnerabilidad en Qlik Sense Enterprise (CVE-2023-48365)

Severidad:

CRÍTICA

Type:

No Disponible / Otro tipo

Fecha de publicación:

15/11/2023

Última modificación:

29/11/2023

Descripción

Qlik Sense Enterprise para Windows antes de agosto de 2023 El parche 2 permite la ejecución remota de código no autenticado, también conocido como QB-21683. Debido a una validación inadecuada de los encabezados HTTP, un atacante remoto puede elevar su privilegio al canalizar las solicitudes HTTP, lo que le permite ejecutar solicitudes HTTP en el servidor backend que aloja la aplicación del repositorio. Las versiones corregidas son el parche 2 de agosto de 2023, el parche 6 de mayo de 2023, el parche 10 de febrero de 2023, el parche 12 de noviembre de 2022, el parche 14 de agosto de 2022, el parche 16 de mayo de 2022, el parche 15 de febrero de 2022 y el parche 17 de noviembre de 2021. NOTA: este problema existe debido a una solución incompleta para CVE-2023-41265.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.90

Severidad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:qlik:qlik_sense:august_2022:-:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_1:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_10:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_11:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_12:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_13:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_2:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_3:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_4:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_5:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_6:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_7:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_8:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_9:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2023:-:::enterprise:windows::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/tac-p/2120510

CPE	Desde	Hasta
cpe:2.3:a:qlik:qlik_sense:august_2022:-:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_1:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_10:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_11:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_12:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_13:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_2:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_3:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_4:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_5:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_6:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_7:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_8:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2022:patch_9:::enterprise:windows::
cpe:2.3:a:qlik:qlik_sense:august_2023:-:::enterprise:windows::