PT-2021-21975 · Microsoft+2 · Azure Sql+3
Publicado
2021-08-07
·
Atualizado
2021-08-14
·
CVE-2021-38159
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do Progress MOVEit Transfer anteriores à 2019.0.8 (11.0.8)
Versões do Progress MOVEit Transfer anteriores à 2019.1.7 (11.1.7)
Versões do Progress MOVEit Transfer anteriores à 2019.2.4 (11.2.4)
Versões do Progress MOVEit Transfer anteriores à 2020.0.7 (12.0.7)
Versões do Progress MOVEit Transfer anteriores à 2020.1.6 (12.1.6)
Versões do Progress MOVEit Transfer anteriores à 2021.0.4 (13.0.4)
Descrição:
Uma injeção de SQL no aplicativo web MOVEit Transfer poderia permitir que um invasor remoto não autenticado obtivesse acesso ao banco de dados. Dependendo do mecanismo de banco de dados utilizado (MySQL, Microsoft SQL Server ou Azure SQL), um invasor pode ser capaz de inferir informações sobre a estrutura e o conteúdo do banco de dados, ou executar instruções SQL que alterem ou excluam elementos do banco de dados, por meio de strings elaboradas enviadas a tipos de transação exclusivos do MOVEit Transfer.
Recomendações:
Para versões anteriores à 2019.0.8 (11.0.8), atualize para a versão 2019.0.8 (11.0.8) ou posterior.
Para versões anteriores à 2019.1.7 (11.1.7), atualize para a versão 2019.1.7 (11.1.7) ou posterior.
Para versões anteriores à 2019.2.4 (11.2.4), atualize para a versão 2019.2.4 (11.2.4) ou posterior.
Para versões anteriores à 2020.0.7 (12.0.7), atualize para a versão 2020.0.7 (12.0.7) ou posterior.
Para versões anteriores à 2020.1.6 (12.1.6), atualize para a versão 2020.1.6 (12.1.6) ou posterior.
Para versões anteriores à 2021.0.4 (13.0.4), atualize para a versão 2021.0.4 (13.0.4) ou posterior.
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Azure Sql
Moveit Transfer
Sql Server
Mysql Server