PT-2020-20235 · Ipswitch+2 · Moveit Transfer+3
Publicado
2020-02-14
·
Atualizado
2020-02-19
·
CVE-2020-8611
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MOVEit Transfer, versões 2019.1 a 2019.1.3
MOVEit Transfer, versões 2019.2 a 2019.2.0
Descrição
Foram encontradas várias vulnerabilidades de injeção de SQL na API REST do MOVEit Transfer, o que poderia permitir que um invasor autenticado obtivesse acesso não autorizado ao banco de dados por meio da API REST. Dependendo do mecanismo de banco de dados utilizado, como MySQL, Microsoft SQL Server ou Azure SQL, um invasor pode ser capaz de inferir informações sobre a estrutura e o conteúdo do banco de dados, além de executar instruções SQL que alteram ou destroem elementos do banco de dados.
Recomendações
Para as versões 2019.1 a 2019.1.3 do MOVEit Transfer, atualize para a versão 2019.1.4 ou posterior.
Para as versões 2019.2 a 2019.2.0 do MOVEit Transfer, atualize para a versão 2019.2.1 ou posterior.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Azure Sql
Moveit Transfer
Sql Server
Mysql Server