MOVEit 転送 SQL インジェクションの新たな重大な脆弱性が発見されました – 今すぐパッチを適用してください! from thehackernews.com

MOVEit Transfer アプリケーションを開発している Progress Software は、機密情報の盗難を可能にするファイル転送ソリューションに影響を与える新しい SQL インジェクションの脆弱性に対処するパッチをリリースしました。
同社は2023年6月9日に公開したアドバイザリーで、「MOVEit Transfer Webアプリケーションに複数のSQLインジェクションの脆弱性が確認されており、認証されていない攻撃者がMOVEit Transferデータベースに不正アクセスできる可能性がある」と述べた。
「攻撃者は、細工されたペイロードを MOVEit Transfer アプリケーションのエンドポイントに送信し、その結果、MOVEit データベースのコンテンツが変更され、開示される可能性があります。」
この開発は、以前に報告された MOVEit Transfer の脆弱性 (CVE-2023-34362) が標的のシステムに Web シェルをドロップするために大量に悪用されたことを受けて行われました。
洞察力に富んだウェビナーに参加してください!
企業調査およびリスクコンサルティング会社のクロールは、サイバー犯罪組織が2021年7月に遡ってCVE-2023-34362を悪用する方法を実験し、少なくとも2022年4月以降は侵害されたMOVEitサーバーからデータを抽出する方法を考案していたという証拠も発見した。