CarderPlanet
Professional
Progress Software выпустила исправления для критической уязвимости безопасности, наряду с семью другими недостатками, в модуле специальной передачи WS_FTP Server и в интерфейсе WS_FTP Server Manager.
Ошибка, отслеживаемая как CVE-2023-40044, имеет оценку CVSS 10,0, что указывает на максимальную серьезность. Ошибка затрагивает все версии программного обеспечения.
"В версиях WS_FTP Server, предшествующих 8.7.4 и 8.8.2, злоумышленник с предварительной аутентификацией мог использовать уязвимость десериализации .NET в модуле Ad Hoc Transfer для выполнения удаленных команд в базовой операционной системе WS_FTP Server", - говорится в сообщении компании.
Исследователям безопасности Assetnote Шубхаму Шаху и Шону Йео приписывают обнаружение уязвимости и сообщение о ней.
Список оставшихся недостатков, влияющих на версии WS_FTP сервера до 8.8.2, выглядит следующим образом -
Тем временем компания все еще борется с последствиями массового взлома, нацеленного на ее платформу безопасной передачи файлов MOVEit Transfer с мая 2023 года. По оценкам Emsisoft, это затронуло более 2100 организаций и более 62 миллионов частных лиц.
Ошибка, отслеживаемая как CVE-2023-40044, имеет оценку CVSS 10,0, что указывает на максимальную серьезность. Ошибка затрагивает все версии программного обеспечения.
"В версиях WS_FTP Server, предшествующих 8.7.4 и 8.8.2, злоумышленник с предварительной аутентификацией мог использовать уязвимость десериализации .NET в модуле Ad Hoc Transfer для выполнения удаленных команд в базовой операционной системе WS_FTP Server", - говорится в сообщении компании.
Исследователям безопасности Assetnote Шубхаму Шаху и Шону Йео приписывают обнаружение уязвимости и сообщение о ней.
Список оставшихся недостатков, влияющих на версии WS_FTP сервера до 8.8.2, выглядит следующим образом -
- CVE-2023-42657 (оценка CVSS: 9,9) - Уязвимость обхода каталогов, которая может быть использована для выполнения файловых операций.
- CVE-2023-40045 (оценка CVSS: 8.3) - отраженная уязвимость межсайтового скриптинга (XSS) в модуле Ad Hoc Transfer сервера WS_FTP, которая может быть использована для выполнения произвольного JavaScript в контексте браузера жертвы.
- CVE-2023-40047 (оценка CVSS: 8.3) - В модуле управления WS_FTP-сервером существует уязвимость с сохраненным межсайтовым скриптингом (XSS), которая может быть использована злоумышленником с правами администратора для импорта SSL-сертификата с вредоносными атрибутами, содержащими полезные данные XSS, которые затем могут быть запущены в браузере жертвы.
- CVE-2023-40046 (оценка CVSS: 8.2) - Уязвимость SQL-инъекции в интерфейсе WS_FTP Server manager, которая может быть использована для вывода информации, хранящейся в базе данных, и выполнения инструкций SQL, которые изменяют или удаляют ее содержимое.
- CVE-2023-40048 (оценка CVSS: 6.8) - Уязвимость при подделке межсайтовых запросов (CSRF) в интерфейсе WS_FTP Server Manager.
- CVE-2022-27665 (оценка CVSS: 6.1) - отраженная уязвимость межсайтового скриптинга (XSS) в Progress Ipswitch WS_FTP Server 8.6.0, которая может привести к выполнению вредоносного кода и команд на клиенте.
- CVE-2023-40049 (оценка CVSS: 5.3) - Уязвимость обхода аутентификации, которая позволяет пользователям перечислять файлы в списке каталогов WebServiceHost.
Тем временем компания все еще борется с последствиями массового взлома, нацеленного на ее платформу безопасной передачи файлов MOVEit Transfer с мая 2023 года. По оценкам Emsisoft, это затронуло более 2100 организаций и более 62 миллионов частных лиц.