Progress Software hat erneut eine schwerwiegende Sicherheitslücke in seiner Dateiübertragungssoftware MOVEit Transfer geschlossen. Ein Angreifer kann unter Umständen aus der Ferne Inhalte einer MOVEit-Datenbank verändern oder auslesen.
Die Schwachstelle mit der Kennung CVE-2023-36934 stuft Progress als kritisch ein. Auslöser ist demnach eine SQL-Injection-Vulnerability in der Webanwendung MOVEit Transfer. Sie erlaubt einem nicht authentifizierten Angreifer, auf die MOVEit-Transfer-Datenbank zuzugreifen. Entdeckt wurde der Bug von einem Mitarbeiter von Trend Micro.
Darüber hinaus werden mit dem aktuellen Service Pack Juli 2023 zwei Löcher gestopft, von denen ein hohes Risiko ausgeht. Auch hier alle unterstützten Versionen von MOVEit Transfer betroffen. Bei der ersten Lücke können Angreifer erneut über eine SQL Injection Code einschleusen und ohne Authentifizierung auf eine Datenbank zugreifen. Der zweite Fehler lässt sich indes für DoS-Angriffe ausnutzen, weil er einen Absturz der Anwendung auslösen kann. Gemeldet wurden beide Fehler über das Prämienprogramm von HackerOne.
Die Software MOVEit Transfer war zuletzt ins Visier von Hackern geraten. Sie hatten vor allem Zero-Day-Lücken ausgenutzt, um Netzwerke zu knacken und die Ransomware Clop zu verbreiten. Davon betroffen waren unter anderem eine Siemens-Tochter und das Bewertungsportal Verivox.
Beide Konzerne wollen die Zahl der Anschlüsse deutlich steigern. Die Öffnung des Telekomnetzes gilt ihnen…
Vier von fünf Betrieben in Deutschland nutzen Cloud Computing. 39 Prozent davon waren in den…
Shanghai, July 2024. iFLYTEK hielt in Peking eine große Pressekonferenz ab, um den mit Spannung…
Die Webversion unterstützt macOS, iPadOS (Chrome und Safari) und Windows (Chrome und Edge). Weitere Plattformen…
Auftragnehmer ist der Neckarsulmer IT-Dienstleister Bechtle. Die Rahmenvereinbarung gilt bis 2027 und hat einen Wert…
Windows-Clients und -Server starten unter Umständen nur bis zum BitLocker-Wiederherstellungsbildschirm. Betroffen sind alle unterstützten Versionen…