9VSA23-00851-01 CSIRT comparte información de nueva vulnerabilidad en MOVEit Transfer

Resumen

El CSIRT de Gobierno comparte información de una nueva vulnerabilidad crítica en MOVEit Transfer. Esta es la tercera vulnerabilidad reciente descubierta para MOVEit Transfer, información de las cuales se puede encontrar aquí: https://www.csirt.gob.cl/vulnerabilidades/9vsa23-00850-01/.

Vulnerabilidades

CVE-2023-35708

Impacto

Vulnerabilidades de riesgo crítico

CVE-2023-35708: Vulnerabilidad de inyección SQL que podría llevar a escalamiento de privilegios y un potencial acceso no autorizado a la base de datos de MOVEit Transfer a un atacante no autenticado.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor. El proveedor llama a sus clientes a deshabilitar todo el tráfico HTTP y HTTs a MOVEit Transfer en los puertos 80 y 443 mientras parche la debilidad.

Productos afectados

MOVEit Transfer 2023.0.x (15.0.x)

MOVEit Transfer 2022.1.x (14.1.x)

MOVEit Transfer 2022.0.x (14.0.x)

MOVEit Transfer 2021.1.x (13.1.x)

MOVEit Transfer 2021.0.x (13.0.x)

MOVEit Transfer 2020.1.x (12.1)

MOVEit Transfer 2020.0.x (12.0) o anterior

MOVEit Cloud

Enlaces

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35708

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00851-01.