MOVEit Transfer<2023.1.0 权限提升漏洞 (CVE-2023-6218)

漏洞类型 权限管理不当 发现时间 2023-11-30 漏洞等级 高危
MPS编号 MPS-067x-zk3j CVE编号 CVE-2023-6218 漏洞影响广度

漏洞危害

OSCS 描述
MOVEit Transfer 是一种用于安全文件传输和协作的企业级解决方案,群组管理员有权执行密码重置、创建或删除帐户、设置权限等操作。
MOVEit Transfer 2022.0.9 (14.0.9)、2022.1.10 (14.1.10)、2023.0.7 (15.0.7) 及之前版本中存在权限提升漏洞,组管理员可将组成员的权限提升至组织管理员。
参考链接:https://www.oscs1024.com/hd/MPS-067x-zk3j

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
moveit_transfer (-∞, 2023.1.0) 升级 将 moveit_transfer 升级至 2023.1.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-067x-zk3j

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-067x-zk3j

https://nvd.nist.gov/vuln/detail/CVE-2023-6218

https://community.progress.com/s/article/MOVEit-Transfer-Service-Pack-November-2023

https://www.progress.com/moveit

(0)
上一篇 2023年11月29日 下午4:00
下一篇 2023年12月6日 上午12:00

相关推荐

  • JumpServer<3.10.0 开放重定向漏洞 (CVE-2024-24763)

    漏洞类型 跨站重定向 发现时间 2024-02-21 漏洞等级 中危 MPS编号 MPS-3dz5-xuk2 CVE编号 CVE-2024-24763 漏洞影响广度 广 漏洞危害 OSCS 描述 JumpServer 是开源的堡垒机和运维安全审计系统。 JumpServer 3.10.0之前版本中存在开放重定向漏洞,攻击者诱导用户点击恶意链接如:hxxps:…

    2024年2月21日
    0
  • Microsoft WordPad NTLM hash 泄露风险 (CVE-2023-36563)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-11-01 漏洞等级 中危 MPS编号 MPS-q4c3-r0wz CVE编号 CVE-2023-36563 漏洞影响广度 小 漏洞危害 OSCS 描述 WordPad 是微软开发的写字板。2023年9月1日,微软宣布WordPad弃用,并在之后的Windows更新中删除。NTLM hash 是 Window…

    2023年11月2日
    0
  • 用友 U8 Cloud、GRP-U8、A++V8.31存在多个高危漏洞

    漏洞类型 注入 发现时间 2023/5/17 漏洞等级 高危 MPS编号 MPS-u37w-cdit CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 用友 U8 Cloud、GRP-U8 是用友软件公司开发的提供企业资源管理解决方案的产品。用友 U8 Cloud 存在3个高危漏洞,分别为LoggingConfigServlet反序列化…

    2023年8月31日
    0
  • PaddlePaddle<2.6.0 存在命令注入漏洞 (CVE-2023-52310)

    漏洞类型 OS命令注入 发现时间 2024-01-03 漏洞等级 严重 MPS编号 MPS-byhf-uv17 CVE编号 CVE-2023-52310 漏洞影响广度 一般 漏洞危害 OSCS 描述 PaddlePaddle(飞桨)是百度研发的深度学习平台。PaddlePaddle 中,Pass 表示对所有训练数据进行一次完整的前向和反向传播。 Paddle…

    2024年1月4日
    0
  • Apache Pulsar 主题级策略管理模块存在越权漏洞 (CVE-2024-28098)

    漏洞类型 授权检查错误 发现时间 2024-03-13 漏洞等级 中危 MPS编号 MPS-2zt9-up36 CVE编号 CVE-2024-28098 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache Pulsar 是开源的分布式发布-订阅消息传递系统,主题级策略管理模块允许高权限用户(如租户管理员或超级用户角色)对主题应用特定的配置和策略。 受…

    2024年3月14日
    0