CRITICAL🇬🇧 English

CVE-2024-5806

Authentication Bypass w module SFTP Progress MOVEit Transfer

CVSS 9.1v3.1pub. 2024-06-25upd. 2025-01-16

Podatność nieprawidłowej weryfikacji tożsamości (CWE-287) w module SFTP aplikacji Progress MOVEit Transfer umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmów uwierzytelniania. Ze względu na krytyczny wynik CVSS 9.1 oraz szeroki zakres dotkniętych wersji stanowi poważne zagrożenie dla organizacji korzystających z tego rozwiązania do zarządzanego transferu plików.

Pokaż oryginał (EN)

Improper Authentication vulnerability in Progress MOVEit Transfer (SFTP module) can lead to Authentication Bypass.This issue affects MOVEit Transfer: from 2023.0.0 before 2023.0.11, from 2023.1.0 before 2023.1.6, from 2024.0.0 before 2024.0.2.

🤖 Analiza AI
Jak działa

Błąd tkwi w module SFTP oprogramowania MOVEit Transfer i polega na nieprawidłowej implementacji procesu uwierzytelniania. Atakujący zdalnie, bez posiadania jakichkolwiek poświadczeń ani interakcji ze strony użytkownika, może przeprowadzić atak przez sieć (AV:N, PR:N, UI:N) i skutecznie ominąć mechanizmy kontroli dostępu. Szczegółowy mechanizm techniczny nie został ujawniony w publicznym opisie producenta.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na nieuprawniony dostęp do systemu z możliwością odczytu oraz modyfikacji przechowywanych danych (C:H, I:H). Może to skutkować wyciekiem wrażliwych plików przesyłanych przez organizację lub ich nieautoryzowaną manipulacją.

Mitygacja

Należy niezwłocznie zaktualizować Progress MOVEit Transfer do wersji eliminujących podatność: 2023.0.11 lub nowszej (dla gałęzi 2023.0.x), 2023.1.6 lub nowszej (dla gałęzi 2023.1.x), 2024.0.2 lub nowszej (dla gałęzi 2024.0.x). Szczegółowe instrukcje dostępne są w biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

Progress MOVEit Transfer w wersjach: od 2023.0.0 przed 2023.0.11, od 2023.1.0 przed 2023.1.6, od 2024.0.0 przed 2024.0.2 — dotyczy wyłącznie modułu SFTP.

Uwagi

Podatność dotyczy wyłącznie modułu SFTP — organizacje nieużywające tego modułu powinny mimo to przeprowadzić aktualizację zgodnie z zaleceniami producenta. Biuletyn bezpieczeństwa opublikowany przez Progress w czerwcu 2024 r.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Progress Moveit Transfer

    APP
    Progress
    2024.0.02023.0.0 – 2023.0.11 (bez)2023.1.0 – 2023.1.6 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2023-34362CRITICAL9.8⚠ KEVten sam produkt

In Progress MOVEit Transfer before 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5),...

CVE-2023-36934CRITICAL9.1ten sam produkt

In Progress MOVEit Transfer before 2020.1.11 (12.1.11), 2021.0.9 (13.0.9), 2021.1.7 (13.1.7), 2022.0.7 (14.0.7...

CVE-2023-35708CRITICAL9.8ten sam produkt

In Progress MOVEit Transfer before 2021.0.8 (13.0.8), 2021.1.6 (13.1.6), 2022.0.6 (14.0.6), 2022.1.7 (14.1.7),...

CVE-2023-35036CRITICAL9.1ten sam produkt

In Progress MOVEit Transfer before 2021.0.7 (13.0.7), 2021.1.5 (13.1.5), 2022.0.5 (14.0.5), 2022.1.6 (14.1.6),...

CVE-2021-38159CRITICAL9.8ten sam produkt

In certain Progress MOVEit Transfer versions before 2021.0.4 (aka 13.0.4), SQL injection in the MOVEit Transfe...