Progress Software a annoncé la découverte et la correction d’une vulnérabilité critique par injection SQL dans MOVEit Transfer, un logiciel populaire utilisé pour le transfert sécurisé de fichiers.
La vulnérabilité identifiée d’injection SQL, étiquetée comme CVE-2023-36934, pourrait potentiellement permettre à des attaquants non authentifiés d’obtenir un accès non autorisé à la base de données MOVEit Transfer.
CVE-2023-36932 est une faille d’injection SQL qui peut être exploitée par des attaquants connectés pour obtenir un accès non autorisé à la base de données MOVEit Transfer.
CVE-2023-36933, en revanche, est une vulnérabilité qui permet aux attaquants d’arrêter inopinément le programme MOVEit Transfer.
Ces vulnérabilités affectent plusieurs versions de MOVEit Transfer, notamment la version 12.1.10 et les versions précédentes, la version 13.0.8 et les versions précédentes, la version 13.1.6 et les versions précédentes, la version 14.0.6 et les versions précédentes, la version 14.1.7 et les versions précédentes, et la version 15.0.3 et les versions précédentes.
Il est fortement conseillé aux utilisateurs de mettre à jour la dernière version de MOVEit Transfer afin de réduire les risques posés par ces vulnérabilités.