Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de autenticación inadecuada en Progress MOVEit Transfer

Fecha de publicación 27/06/2024
Identificador
INCIBE-2024-0324
Importancia
5 - Crítica
Recursos Afectados

Esta vulnerabilidad afecta a las siguientes versiones de MOVEit Transfer:

  • desde la versión 2023.0.0 hasta la 2023.0.11;
  • desde la versión 2023.1.0 hasta la 2023.1.6;
  • desde la versión 2024.0.0 hasta la 2024.0.2.
Descripción

Progress ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante eludir la autenticación del producto afectado.

Solución

El fabricante ha solucionado la vulnerabilidad de MOVEit Transfer y el equipo de Progress MOVEit recomienda encarecidamente realizar una actualización a la última versión disponible.

Detalle

Una vulnerabilidad recientemente identificada en un componente de terceros utilizado en MOVEit Transfer, eleva el riesgo de la vulnerabilidad descubierta si se deja sin parchear. Aunque el parche distribuido por Progress el 11 de junio soluciona satisfactoriamente el problema identificado inicialmente, esta vulnerabilidad de terceros recientemente revelada introduce un nuevo riesgo.

Recientemente, investigadores de la empresa de ciberseguridad WatchTower publicaron una prueba de concepto (PoC) para la explotación de esta vulnerabilidad. Se ha asignado el identificador CVE-2024-5806 para la misma.