Multiples vulnérabilités dans Progress WS_FTP Server

Gestion du document

Référence	CERTFR-2023-AVI-0793
Titre	Multiples vulnérabilités dans Progress WS_FTP Server
Date de la première version	29 septembre 2023
Date de la dernière version	29 septembre 2023
Source(s)	Bulletin de sécurité Progress du 27 septembre 2023
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire à distance
Contournement de la politique de sécurité
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Injection de code indirecte à distance (XSS)

Systèmes affectés

WS_FTP Server 2020.0.4 versions antérieures à 8.7.4
WS_FTP Server 2022.0.2 versions antérieures à 8.8.2

Résumé

De multiples vulnérabilités ont été découvertes dans Progress WS_FTP Server. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Progress du 27 septembre 2023
https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023
Référence CVE CVE-2023-40044
https://www.cve.org/CVERecord?id=CVE-2023-40044
Référence CVE CVE-2023-42657
https://www.cve.org/CVERecord?id=CVE-2023-42657
Référence CVE CVE-2023-40045
https://www.cve.org/CVERecord?id=CVE-2023-40045
Référence CVE CVE-2023-40046
https://www.cve.org/CVERecord?id=CVE-2023-40046
Référence CVE CVE-2023-40047
https://www.cve.org/CVERecord?id=CVE-2023-40047
Référence CVE CVE-2023-40048
https://www.cve.org/CVERecord?id=CVE-2023-40048
Référence CVE CVE-2022-27665
https://www.cve.org/CVERecord?id=CVE-2022-27665
Référence CVE CVE-2023-40049
https://www.cve.org/CVERecord?id=CVE-2023-40049

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Progress WS_FTP Server