Progress Software, WS_FTP Sunucusundaki Çoklu Güvenlik Kusurları için Acil Düzeltmeler Yayınlıyor - Dünyadan Güncel Teknoloji Haberleri

Progress Software, WS_FTP Sunucusundaki Çoklu Güvenlik Kusurları için Acil Düzeltmeler Yayınlıyor - Dünyadan Güncel Teknoloji Haberleri
  • CVE-2022-27665 (CVSS puanı: 6,1) – Progress Ipswitch WS_FTP Server 8



    siber-2

    Emsisoft


    29 Eylül 2023THNSunucu Güvenliği / Güvenlik Açığı

    Progress Software, WS_FTP Sunucusu Geçici Aktarım Modülü ve WS_FTP Sunucusu yönetici arayüzündeki diğer yedi kusurun yanı sıra kritik bir güvenlik açığı için düzeltmeler yayınladı 0’da, istemcide kötü amaçlı kod ve komutların yürütülmesine yol açabilen, siteler arası komut dosyası çalıştırma (XSS) güvenlik açığının yansıması 6

    Assetnote güvenlik araştırmacıları Shubham Shah ve Sean Yeoh, güvenlik açığını keşfedip rapor etme konusunda itibar kazandı

    Bu arada şirket, Mayıs 2023’ten bu yana MOVEit Transfer güvenli dosya aktarım platformunu hedef alan toplu hacklemenin etkileriyle hâlâ boğuşuyor 4 ve 8 ” söz konusu bir danışma belgesinde

    8

    Şu şekilde izlendi: CVE-2023-40044kusurun CVSS puanı 10,0’dır, bu da maksimum ciddiyeti gösterir Yazılımın tüm sürümleri bu kusurdan etkilenir 8

  • CVE-2023-40046 (CVSS puanı: 8
  • CVE-2023-40045 (CVSS puanı: 8,3) – WS_FTP Sunucusunun Geçici Aktarım modülünde, kurbanın tarayıcısı bağlamında rastgele JavaScript yürütmek için kullanılabilen, siteler arası komut dosyası çalıştırma (XSS) güvenlik açığının yansıması
  • CVE-2023-40049 (CVSS puanı: 5 7 kurbanın tarayıcısında 2’den önceki WS_FTP Sunucusu sürümlerini etkileyen kalan kusurların listesi aşağıdaki gibidir:

    • CVE-2023-42657 (CVSS puanı: 9,9) – Dosya işlemlerini gerçekleştirmek için kullanılabilecek bir dizin geçiş güvenlik açığı NET seri durumdan çıkarma güvenlik açığından yararlanabilir 8 3) – Kullanıcıların ‘WebServiceHost’ dizin listesi altındaki dosyaları numaralandırmasına olanak tanıyan bir kimlik doğrulama atlama güvenlik açığı

      Şirket, “8

    Progress Software’deki güvenlik kusurlarının Cl0p gibi fidye yazılımı grupları için çekici bir hedef haline gelmesiyle birlikte, kullanıcıların potansiyel tehditleri kontrol altına almak için en son yamaları hızla uygulaması hayati önem taşıyor

  • CVE-2023-40047 (CVSS puanı: 8,3) – WS_FTP Sunucusunun Yönetim modülünde, yönetici ayrıcalıklarına sahip bir saldırganın, daha sonra tetiklenebilecek XSS verilerini içeren kötü amaçlı özniteliklere sahip bir SSL sertifikasını içe aktarmak için yararlanabileceği, depolanmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı bulunmaktadır 2) – WS_FTP Sunucusu yönetici arayüzünde, veritabanında depolanan bilgileri çıkarmak ve içeriğini değiştiren veya silen SQL ifadelerini yürütmek için kullanılabilecek bir SQL enjeksiyon güvenlik açığı 100’den fazla kuruluşun ve 62 milyondan fazla kişinin etkilendiği tahmin ediliyor 2’den önceki WS_FTP Sunucusu sürümlerinde, önceden kimliği doğrulanmış bir saldırgan, temeldeki WS_FTP Sunucusu işletim sistemi üzerinde uzaktan komutlar yürütmek için Geçici Aktarım modülündeki bir Rapora göre 2
  • CVE-2023-40048 (CVSS puanı: 6,8) – WS_FTP Sunucu Yöneticisi arayüzünde siteler arası istek sahteciliği (CSRF) güvenlik açığı