9VSA23-00851-01 CSIRT comparte información de nueva vulnerabilidad en MOVEit Transfer
El CSIRT de Gobierno comparte información de una nueva vulnerabilidad crítica en MOVEit Transfer.
![9VSA23-00851-01.png](https://media.ciberseguridad.gob.cl/images/9VSA23-00851-01.2e16d0ba.format-jpeg.fill-1200x600.jpg)
Resumen
El CSIRT de Gobierno comparte información de una nueva vulnerabilidad crítica en MOVEit Transfer. Esta es la tercera vulnerabilidad reciente descubierta para MOVEit Transfer, información de las cuales se puede encontrar aquí: https://www.csirt.gob.cl/vulnerabilidades/9vsa23-00850-01/.
Vulnerabilidades
CVE-2023-35708
Impacto
Vulnerabilidades de riesgo crítico
CVE-2023-35708: Vulnerabilidad de inyección SQL que podría llevar a escalamiento de privilegios y un potencial acceso no autorizado a la base de datos de MOVEit Transfer a un atacante no autenticado.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor. El proveedor llama a sus clientes a deshabilitar todo el tráfico HTTP y HTTs a MOVEit Transfer en los puertos 80 y 443 mientras parche la debilidad.
Productos afectados
MOVEit Transfer 2023.0.x (15.0.x)
MOVEit Transfer 2022.1.x (14.1.x)
MOVEit Transfer 2022.0.x (14.0.x)
MOVEit Transfer 2021.1.x (13.1.x)
MOVEit Transfer 2021.0.x (13.0.x)
MOVEit Transfer 2020.1.x (12.1)
MOVEit Transfer 2020.0.x (12.0) o anterior
MOVEit Cloud
Enlaces
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-15June2023
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35708
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00851-01.