更新時間:2023/06/28 13:57:43
發佈時間:2023/06/28 13:57:09
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Progress MOVEit存在高風險 SQL injection 漏洞(CVE-2023-34362、CVE-2023-35036、CVE-2023-35708 ),未經身分驗證的攻擊者成功利用後即可取得資料庫存取權限,並可執行相關資料庫指令。
二、已揭露攻擊程式碼說明[2]
GitHub 上已出現針對CVE-2023-34362的 POC 程式碼。
三、受影響版本[1]
2023.0.x (15.0.x) ,建議修補版本2023.0.3 (15.0.3)
2022.1.x (14.1.x) ,建議修補版本 2022.1.7 (14.1.7)
2022.0.x (14.0.x) ,建議修補版本 2022.0.6 (14.0.6)
2021.1.x (13.1.x) ,建議修補版本 2021.1.6 (13.1.6)
2021.0.x (13.0.x) ,建議修補版本 2021.0.8 (13.0.8)
2020.1.x (12.1) ,建議修補版本2020.1.10 (12.1.10)
2020.0.x (12.0) ,必須升版至非EOS版本
▶ 參考資訊
⌵
網址 | 說明 |
---|---|
https://www.progress.com/security/moveit-transfer-and-moveit-cloud-vulnerability | 1. Progress |
https://github.com/horizon3ai/CVE-2023-34362 | 2. GitHub |
https://nvd.nist.gov/vuln/detail/CVE-2023-34362 | 3. NVD |
https://nvd.nist.gov/vuln/detail/CVE-2023-35036 | 4. NVD |
https://nvd.nist.gov/vuln/detail/CVE-2023-35708 | 5. NVD |
▶ 影響平台
⌵
影響平台-系統:
Progress MOVEit
▶ 建議措施
⌵
1. 官方已提供修補程式,請評估後參考官方訊息升級至對應版本。
2. 若無法及時修補,可參考官方提供之緩解措施。
▶ 漏洞資訊
⌵
名稱:
CVE-2023-34362[3]、CVE-2023-35036[4]、CVE-2023-35708[5]
描述:
使用版本:CVSS 3.1
分析分數:9.8、9.1、9.8
參考來源: NVD
情資編號:
FISAC-200-202306-0002
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞