MOVEit Transfer<2023.1.0 权限提升漏洞 (CVE-2023-6218)

漏洞类型 权限管理不当 发现时间 2023-11-30 漏洞等级 高危
MPS编号 MPS-067x-zk3j CVE编号 CVE-2023-6218 漏洞影响广度

漏洞危害

OSCS 描述
MOVEit Transfer 是一种用于安全文件传输和协作的企业级解决方案,群组管理员有权执行密码重置、创建或删除帐户、设置权限等操作。
MOVEit Transfer 2022.0.9 (14.0.9)、2022.1.10 (14.1.10)、2023.0.7 (15.0.7) 及之前版本中存在权限提升漏洞,组管理员可将组成员的权限提升至组织管理员。
参考链接:https://www.oscs1024.com/hd/MPS-067x-zk3j

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
moveit_transfer (-∞, 2023.1.0) 升级 将 moveit_transfer 升级至 2023.1.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-067x-zk3j

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-067x-zk3j

https://nvd.nist.gov/vuln/detail/CVE-2023-6218

https://community.progress.com/s/article/MOVEit-Transfer-Service-Pack-November-2023

https://www.progress.com/moveit

(0)
上一篇 2023年11月29日 下午4:00
下一篇 2023年12月6日 上午12:00

相关推荐

  • Atlassian Confluence Data Center/Server 身份验证不当漏洞 (CVE-2023-22518)

    漏洞类型 授权机制不恰当 发现时间 2023-10-31 漏洞等级 严重 MPS编号 MPS-2023-0019 CVE编号 CVE-2023-22518 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由 Atlassian 开发的知识管理与协同软件,旨在帮助团队协作、共享信息和创建文档。 Confluence Data Center…

    2023年11月1日
    0
  • JumpServer 会话录像文件未授权访问漏洞 (CVE-2023-42442)

    漏洞类型 身份验证不当 发现时间 2023-09-18 漏洞等级 高危 MPS编号 MPS-ye5k-1v9i CVE编号 CVE-2023-42442 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是一款开源的堡垒机。 在JumpServer受影响版本中,由于会话回放录像接口/api/v1/terminal/sessions/鉴权不当,…

    2023年9月18日
    0
  • SugarCRM 存在二阶PHP对象注入漏洞 (CVE-2023-35810)

    漏洞类型 代码注入 发现时间 2023/6/19 漏洞等级 高危 MPS编号 MPS-lf2x-y6h4 CVE编号 CVE-2023-35810 漏洞影响广度 一般 漏洞危害 OSCS 描述 SugarCRM 是一款开源的客户关系管理(CRM)软件。受影响版本中,由于缺少输入验证,DocuSign 模块中存在二阶 PHP 对象注入漏洞。具有管理员权限的攻击…

    2023年8月30日
    0
  • runc <1.2.0-rc.1 systemd属性注入漏洞 (CVE-2024-3154)

    漏洞类型 命令注入 发现时间 2024-04-27 漏洞等级 高危 MPS编号 MPS-617x-mejs CVE编号 CVE-2024-3154 漏洞影响广度 一般 漏洞危害 OSCS 描述 CRI-O 是一款开源的、用于Kubernetes系统的轻量级容器运行时环境,runc 是 CRI-O 中用于创建和运行容器的工具。 runc 受影响版本中由于未对 …

    漏洞 2024年4月28日
    0
  • Apache IoTDB Sync Tool反序列化漏洞 (CVE-2023-51656)

    漏洞类型 反序列化 发现时间 2023-12-21 漏洞等级 中危 MPS编号 MPS-b5gs-81ux CVE编号 CVE-2023-51656 漏洞影响广度 漏洞危害 OSCS 描述 Apache IoTDB是时序数据的数据管理系统,为用户提供数据采集、存储、分析等特定服务。 在 FileLoaderManager.java 文件的 deSeriali…

    2023年12月22日
    0