PT-2024-1119 · Ipswitch · Moveit Transfer
Hackerone: P-V-P
·
Publicado
2024-01-17
·
Atualizado
2024-01-30
·
CVE-2024-0396
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:N/I:P/A:C |
Nome do software vulnerável e versões afetadas
Versões do MOVEit Transfer anteriores à 2022.0.10 (14.0.10)
Versões do MOVEit Transfer anteriores à 2022.1.11 (14.1.11)
Versões do MOVEit Transfer anteriores à 2023.0.8 (15.0.8)
Versões do MOVEit Transfer anteriores à 2023.1.3 (15.1.3)
Descrição
Foi detectada uma falha de validação de entrada no MOVEit Transfer, permitindo que um usuário autenticado manipule um parâmetro em uma transação HTTPS. A transação modificada pode causar erros de cálculo no MOVEit Transfer e, potencialmente, resultar em uma negação de serviço. A falha está relacionada à liberação ou liberação incorreta de recursos no componente HTTPS Transaction Handler.
Recomendações
Para versões anteriores à 2022.0.10 (14.0.10), atualize para uma versão que inclua a correção para esta falha.
Para versões anteriores à 2022.1.11 (14.1.11), atualize para uma versão que inclua a correção para esta falha.
Para versões anteriores à 2023.0.8 (15.0.8), atualize para uma versão que inclua a correção para este problema.
Para versões anteriores à 2023.1.3 (15.1.3), atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao manipulador de transações HTTPS para minimizar o risco de exploração.
Correção
Improper Resource Release
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Moveit Transfer