PT-2021-19530 · Ipswitch+2 · Moveit Transfer+3
Publicado
2021-05-18
·
Atualizado
2021-05-25
·
CVE-2021-31827
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do MOVEit Transfer anteriores à 2021.0 (13.0)
Descrição
Foi descoberta uma vulnerabilidade de injeção de SQL no aplicativo web MOVEit Transfer, que pode permitir que um invasor autenticado obtenha acesso não autorizado ao banco de dados. O invasor pode ser capaz de inferir informações sobre a estrutura e o conteúdo do banco de dados e executar instruções SQL para alterar ou destruir elementos do banco de dados, dependendo do mecanismo de banco de dados utilizado, como MySQL, Microsoft SQL Server ou Azure SQL. A vulnerabilidade está localizada no MOVEit.DMZ.WebApp, no arquivo SILHuman.vb.
Recomendações
Para versões anteriores à 2021.0 (13.0), atualize para a versão 2021.0 (13.0) ou posterior para resolver a vulnerabilidade. Como solução alternativa temporária, considere restringir o acesso ao aplicativo web MOVEit Transfer para minimizar o risco de exploração.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Azure Sql
Moveit Transfer
Sql Server
Mysql Server