Risque(s)
- Exécution de code arbitraire à distance
- Déni de service à distance
Systèmes affectés
- MOVEit Transfer versions 2023.0.x antérieures à 2023.0.4 (15.0.4)
- MOVEit Transfer versions 2022.1.x antérieures à 2022.1.8 (14.1.8)
- MOVEit Transfer versions 2022.0.x antérieures à 2022.0.7 (14.0.7)
- MOVEit Transfer versions 2021.1.x antérieures à 2021.1.7 (13.1.7)
- MOVEit Transfer versions 2021.0.x antérieures à 2021.0.9 (13.0.9)
- MOVEit Transfer versions 2020.1.6 (12.1.6) et postérieures
- MOVEit Transfer versions 2020.0.x (12.0.x) et antérieures
L'éditeur indique que les versions 2020.0.x et antérieures ne sont plus maintenues.
Résumé
De multiples vulnérabilités ont été découvertes dans Progress Software MOVEit Transfer. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Progress Software 000236829 du 7 juillet 2023
https://community.progress.com/s/article/MOVEit-Transfer-Service-Pack-July-2023 - Référence CVE CVE-2023-36934
https://www.cve.org/CVERecord?id=CVE-2023-36934 - Référence CVE CVE-2023-36932
https://www.cve.org/CVERecord?id=CVE-2023-36932 - Référence CVE CVE-2023-36933
https://www.cve.org/CVERecord?id=CVE-2023-36933