检测
分析学

moveit传输 < 2020.0/2020.1/20211.0 < 2021.6/2021.1.0 < 20211.4/2022.0.0 < 2022.0.4/2022.1.0 < 2022.1.5/2023.0.0 < 2023.0.1

关键值奈苏斯插件ID 176567

语言 :

简表

远程主机安装程序受多重漏洞影响

描述性

进度MOVEit传输版本原IpswitchmovitDMZ安装前 < 2020.0/2020.1/2021.0 < 2021.06、2021.1.4、2022.0.4、2022.1.5或2023.0.1受SQL注入漏洞影响,如进步社区第000234532条所引用
SQL注入漏洞发现Moveit传输网络应用允许非认证攻击者擅自访问MOVeit传输数据库视数据库引擎使用情况而定(MySQL、微软SQL服务器或AzureSQL),攻击者除执行SQL语句修改或删除数据库元素外,还可能推断数据库结构和内容信息
注意Nessus没有测试这一问题,而是只依赖应用自报版号

求解

升级为进步MOVEIT转移版2021. 0.6、2021.1.42022.0.42022.1.52023.0.1或后传或应用2020.1x版特殊补丁

并见

http://www.nessus.org/u?c8b7c10b

http://www.nessus.org/u?a8493618

插件细节

严重性 :临界点

身份证 :176567

文件名 :progress_moveit_transfer_15_0_1_37.nasl

版本化 :1.8

类型 :本地化

代理 :窗口内

家庭问题 :Windows系统

发布 :6/1/2023

更新 :8/28/2023

支持传感器 :内苏斯代理

风险信息

VPR

风险因子 :临界点

分数 :9.6

CVSS v2

风险因子 :临界点

基础评分 :10

时间评分 :8.3

向量 :CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS评分源 :CVE2023-34362

CVSSv3

风险因子 :临界点

基础评分 :九点八

时间评分 :9.1

向量 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间向量 :CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE系统 :cpe:/a:ipswitch:moveit_dmz,cpe:/a:ipswitch:moveit_transfer,cpe:/a:progress:moveit_transfer

开发可用性 :真实性

开发易斯 :exploits可用

补丁发布日期 :5/31/2023

漏洞发布日期 :5/31/2023

CISA已知漏洞开发 :6/23/2023

可探索使用

核心作用

元sploit MOVEitSQL注入漏洞

参考信息

CVE系统 :CVE2023-34362

Baidu
map