再び「MOVEit Transfer」に深刻な脆弱性 - CVE番号は採番待ち
脆弱性「CVE-2023-34362」によるゼロデイ攻撃の被害へ注意が呼びかけられているデータ転送ソリューション「MOVEit Transfer」だが、それとは別の深刻な脆弱性があらたに判明した。再度アップデートをリリースしている。
5月末のアドバイザリとは別のあらたな脆弱性が明らかとなったとして、現地時間6月9日にProgress Softwareが再度アドバイザリをリリースしたもの。すべてのバージョンに影響があり、重要度は「クリティカル(Critical)」としている。CVE番号は採番待ちの状態だという。
具体的には、ウェブアプリケーションにSQLインジェクションの脆弱性が複数存在することが判明した。認証なしに同製品のデータベースへアクセスが可能となり、データを改ざんされたり、情報が漏洩するおそれがある。
同社では、修正版となる「MOVEit Transfer 2023.0.2」「同2022.1.6 」「同2022.0.5」「同2021.1.5」「同2021.0.7」「同2020.1.9」をリリースした。
「CVE-2023-34362」へ対応した5月のパッチを適用していない場合は、そちらのアドバイザリを踏まえて対処するよう求めている。
(Security NEXT - 2023/06/12 )
ツイート
関連リンク
PR
関連記事
「MOVEit Transfer」に認証不備の脆弱性 - アップデートが公開
「MOVEit Transfer」に脆弱性 - アップデートと回避策の実施を
ランサムリークサイト、年間約4000件の投稿 - 身代金支払うも約2割で反古
SysAidのITSMツールにゼロデイ攻撃 - 更新や侵害状況の確認を
「MOVEit Transfer」に脆弱性 - 定例サービスパックで修正
「MOVEit Transfer」にあらたな脆弱性 - 5月末以降、3度目の更新
ランサムウェア「Cl0p」、「MOVEit Transfer」にゼロデイ攻撃を展開
「MOVEit Transfer」のゼロデイ脆弱性 - 90日遡って侵害確認を
「MOVEit Transfer」の脆弱性、脅迫グループが悪用か
「MOVEit Transfer」にゼロデイ脆弱性 - 侵害状況も確認を