PT-2021-21738 · Progress · Moveit Transfer
Alex Kordas
·
Publicado
2021-08-05
·
Atualizado
2021-08-17
·
CVE-2021-37614
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Progress MOVEit Transfer anteriores à 2019.0.7 (11.0.7)
Versões do Progress MOVEit Transfer anteriores à 2019.1.6 (11.1.6)
Versões do Progress MOVEit Transfer anteriores à 2019.2.3 (11.2.3)
Versões do Progress MOVEit Transfer anteriores à 2020.0.6 (12.0.6)
Versões do Progress MOVEit Transfer anteriores à 2020.1.5 (12.1.5)
Versões do Progress MOVEit Transfer anteriores à 2021.0.3 (13.0.3)
Descrição
Uma injeção de SQL no aplicativo web MOVEit Transfer poderia permitir que um invasor remoto autenticado obtivesse acesso ao banco de dados. Dependendo do mecanismo de banco de dados utilizado, um invasor pode ser capaz de inferir informações sobre a estrutura e o conteúdo do banco de dados, ou executar instruções SQL que alterem ou excluam elementos do banco de dados, por meio de strings elaboradas enviadas a tipos de transação exclusivos do MOVEit Transfer.
Recomendações
Para versões anteriores à 2019.0.7 (11.0.7), atualize para a versão 2019.0.7 (11.0.7) ou posterior.
Para versões anteriores à 2019.1.6 (11.1.6), atualize para a versão 2019.1.6 (11.1.6) ou posterior.
Para versões anteriores à 2019.2.3 (11.2.3), atualize para a versão 2019.2.3 (11.2.3) ou posterior.
Para versões anteriores à 2020.0.6 (12.0.6), atualize para a versão 2020.0.6 (12.0.6) ou posterior.
Para versões anteriores à 2020.1.5 (12.1.5), atualize para a versão 2020.1.5 (12.1.5) ou posterior.
Para versões anteriores à 2021.0.3 (13.0.3), atualize para a versão 2021.0.3 (13.0.3) ou posterior.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Moveit Transfer