Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-34362

Опубликовано: 02 июн. 2023
Источник: nvd
CVSS3: 9.8
EPSS Критический

Описание

In Progress MOVEit Transfer before 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), and 2023.0.1 (15.0.1), a SQL injection vulnerability has been found in the MOVEit Transfer web application that could allow an unauthenticated attacker to gain access to MOVEit Transfer's database. Depending on the database engine being used (MySQL, Microsoft SQL Server, or Azure SQL), an attacker may be able to infer information about the structure and contents of the database, and execute SQL statements that alter or delete database elements. NOTE: this is exploited in the wild in May and June 2023; exploitation of unpatched systems can occur via HTTP or HTTPS. All versions (e.g., 2020.0 and 2019x) before the five explicitly mentioned versions are affected, including older unsupported versions.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:progress:moveit_cloud:*:*:*:*:*:*:*:*
Версия до 14.0.5.45 (исключая)
cpe:2.3:a:progress:moveit_cloud:*:*:*:*:*:*:*:*
Версия от 14.1.0.0 (включая) до 14.1.6.97 (исключая)
cpe:2.3:a:progress:moveit_cloud:*:*:*:*:*:*:*:*
Версия от 15.0.0.0 (включая) до 15.0.2.39 (исключая)
cpe:2.3:a:progress:moveit_transfer:*:*:*:*:*:*:*:*
Версия до 2021.0.7 (исключая)
cpe:2.3:a:progress:moveit_transfer:*:*:*:*:*:*:*:*
Версия от 2021.1.0 (включая) до 2021.1.5 (исключая)
cpe:2.3:a:progress:moveit_transfer:*:*:*:*:*:*:*:*
Версия от 2022.0.0 (включая) до 2022.0.5 (исключая)
cpe:2.3:a:progress:moveit_transfer:*:*:*:*:*:*:*:*
Версия от 2022.1.0 (включая) до 2022.1.6 (исключая)
cpe:2.3:a:progress:moveit_transfer:*:*:*:*:*:*:*:*
Версия от 2023.0.0 (включая) до 2023.0.2 (исключая)

EPSS

Процентиль: 100%
0.94254
Критический

9.8 Critical

CVSS3

Дефекты

CWE-89
CWE-89

Связанные уязвимости

github логотип

GHSA-hq22-q5g8-577g

CVSS3: 9.8
github
больше 2 лет назад

In Progress MOVEit Transfer before 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), and 2023.0.1 (15.0.1), a SQL injection vulnerability has been found in the MOVEit Transfer web application that could allow an unauthenticated attacker to gain access to MOVEit Transfer's database. Depending on the database engine being used (MySQL, Microsoft SQL Server, or Azure SQL), an attacker may be able to infer information about the structure and contents of the database, and execute SQL statements that alter or delete database elements. NOTE: this is exploited in the wild in May and June 2023; exploitation of unpatched systems can occur via HTTP or HTTPS.

fstec логотип

BDU:2023-03174

CVSS3: 9.8
fstec
больше 2 лет назад

Уязвимость программного обеспечения для обработки и передачи конфиденциальных данных Progress MOVEit Transfer, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 100%
0.94254
Критический

9.8 Critical

CVSS3

Дефекты

CWE-89
CWE-89