Múltiples vulnerabilidades en MOVEit Transfer
Fecha de publicación 21/09/2023
Identificador
INCIBE-2023-0405
Importancia
4 - Alta
Recursos Afectados
MOVEit Transfer, versiones:
- 2023.0.x (15.0.x);
- 2022.1.x (14.1.x);
- 2022.0.x (14.0.x);
- 2021.1.x (13.1.x);
- 2021.0.x (13.0.x) o anteriores.
Descripción
MOVEit ha publicado una notificación con actualizaciones del Service Pack correspondientes a septiembre 2023, en la que se recogen 3 vulnerabilidades: 2 de severidad alta y 1 media, cuya explotación podría permitir la realización de inyecciones SQL o XSS reflejado.
Solución
Actualizar MOVEit Transfer a las versiones:
- 2023.0.6 (15.0.6);
- 2022.1.9 (14.1.9);
- 2022.0.8 (14.0.8);
- 2021.1.8 (13.1.8);
- versiones con soporte en el caso de 2021.0.x (13.0.x) o anteriores.
Detalle
Las vulnerabilidades altas de tipo SQLi se describen a continuación:
- Un atacante podría enviar un payload especialmente diseñado a la interfaz de la máquina MOVEit Transfer, que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit. Se ha asignado el identificador CVE-2023-42660 para esta vulnerabilidad.
- Un administrador del sistema MOVEit podría enviar un payload malicioso a la interfaz web de MOVEit Transfer, que podría resultar en la modificación y divulgación del contenido de la base de datos de MOVEit. Se ha asignado el identificador CVE-2023-40043 para esta vulnerabilidad.
La vulnerabilidad media tiene asignada el identificador CVE-2023-42656.
Listado de referencias
