再び「MOVEit Transfer」に深刻な脆弱性 - CVE番号は採番待ち

脆弱性「CVE-2023-34362」によるゼロデイ攻撃の被害へ注意が呼びかけられているデータ転送ソリューション「MOVEit Transfer」だが、それとは別の深刻な脆弱性があらたに判明した。再度アップデートをリリースしている。

5月末のアドバイザリとは別のあらたな脆弱性が明らかとなったとして、現地時間6月9日にProgress Softwareが再度アドバイザリをリリースしたもの。すべてのバージョンに影響があり、重要度は「クリティカル（Critical）」としている。CVE番号は採番待ちの状態だという。

具体的には、ウェブアプリケーションにSQLインジェクションの脆弱性が複数存在することが判明した。認証なしに同製品のデータベースへアクセスが可能となり、データを改ざんされたり、情報が漏洩するおそれがある。

同社では、修正版となる「MOVEit Transfer 2023.0.2」「同2022.1.6 」「同2022.0.5」「同2021.1.5」「同2021.0.7」「同2020.1.9」をリリースした。

「CVE-2023-34362」へ対応した5月のパッチを適用していない場合は、そちらのアドバイザリを踏まえて対処するよう求めている。

（Security NEXT - 2023/06/12 ）ツイート