Progress Software vừa cảnh báo người dùng về 3 lỗ hổng an ninh mới phát hiện trong giải pháp MOVEit Transfer. Những lỗ hổng này nếu bị khai thác, có thể cho phép hacker lấy cắp dữ liệu quan trọng từ cơ sở dữ liệu khách hàng hoặc chạy JavaScript độc hại.
CVE-2023-42660 (điểm CVSS 8.8) là lỗ hổng SQL Injection liên quan đến giao diện máy MOVEit Transfer, có thể đóng vai trò backdoor để hacker đã xác thực lẻn vào cơ sở dữ liệu MOVEit Transfer. Các phiên bản trước 2023.0.6 (15.0.6) đều bị ảnh hưởng bởi lỗ hổng.
CVE-2023-40043 (điểm CVSS 7.2) là lỗ hổng SQL Injection liên quan quản trị hệ thống. Các phiên bản ảnh hưởng cũng tương tự lỗ hổng CVE-2023-42660.
CVE-2023-42656 (điểm CVSS 6.1): lỗ hổng XSS cho phép hacker tạo một payload độc hại trong quá trình cấu thành package. Người dùng MOVEit khi tương tác với payload này có thể vô tình cho phép kẻ tấn công chạy JavaScript độc hại, khiến trình duyệt và thiết bị của họ gặp rủi ro.
Danh sách các phiên bản MOVEit Transfer bị ảnh hưởng bởi lỗ hổng và các phiên bản đã được vá có thể xem tại đây.
Nguồn: Security Online