Progress Software a publié des correctifs pour une vulnérabilité de sécurité critique (avec un score CVSS maximum de 10.0) et sept autres failles dans son module de transfert ad hoc WS_FTP Server et son interface de gestion WS_FTP Server.
La faille la plus grave, CVE-2023-40044, affecte toutes les versions du logiciel et permet à un attaquant préauthentifié d’exploiter une vulnérabilité de désérialisation .NET pour exécuter des commandes à distance.
D’autres vulnérabilités notables sont à signaler :
CVE-2023-42657 : Une faille de traversée de répertoire.
CVE-2023-40045 & CVE-2022-27665 : Vulnérabilités réfléchies de type cross-site scripting (XSS).
CVE-2023-40047 : Une vulnérabilité XSS stockée dans le module de gestion du serveur WS_FTP.
CVE-2023-40046 : Une vulnérabilité d’injection SQL.
CVE-2023-40048 : Une vulnérabilité de type « cross-site request forgery » (CSRF).
CVE-2023-40049 : Une faille de contournement d’authentification.
Face aux menaces croissantes des groupes de ransomware ciblant Progress Software, les utilisateurs sont invités à appliquer rapidement les correctifs fournis. En outre, Progress Software fait actuellement face aux conséquences d’un piratage majeur de sa plateforme de transfert MOVEit en mai 2023, qui a touché plus de 2 100 organisations et 62 millions de personnes.
