Falha de upload arbitrário de ficheiros no WS_FTP Server do Progress - CVE-2023-42659

O Progress, também criador do MOVEit, foi alertado para uma falha de upload arbitrário de ficheiros, representada pelo CVE-2023-42659.

O WS_FTP é um software de transferência de ficheiros muito usado a nível empresarial.

Falha

O utilizador Ad Hot Transfer autenticado conseguia fazer uma chamada pela API que lhe permitia fazer upload de ficheiros a uma localização específica do host onde estivesse uma aplicação a correr WS_FTP

Versões afetadas

- anteriores a 8.7.6 e 8.8.4

Solução

Atualizar seguindo o guia de atualização

Guia de atualização: https://community.progress.com/s/article/Removing-or-Disabling-the-WS-FTP-Server-Ad-hoc-Transfer-Module

Mais informações no advisory oficial: https://community.progress.com/s/article/WS-FTP-Server-Critical-Vulnerability-September-2023

Nota:

Poderá saber mais informações da versão caso corra scripts alternativos

"whatweb <host>"

"echo <host> | httpx --web-server --title"

Comments

Microsoft Patch Tuesday - setembro 2024

Falha de execução de código remota no plugin WPML de Wordpress

Microsoft Patch Tuesday - agosto 2024

Falha de execução de código remota no jenkins

Falha no mongodb permite elevação de privilégios

Microsoft Patch Tuesday - Julho 2024

Falha crítica no openssh permite execução de código remota

Novas falhas endereçadas para o VMware vCenter Server

Routers da Asus vulneráveis a uma falha crítica de upload arbitrário de firmware

Descoberto backdoor crítico em routers da D-Link

CIBERCRIME PORTUGAL

Falha de upload arbitrário de ficheiros no WS_FTP Server do Progress - CVE-2023-42659

Comments

POSTS RECENTES:

PROCURE POR TAGS: