Vie, 29/09/2023 – 10:26
Los siguientes mĂłdulos de WS_FTP, en versiones anteriores a la 8.8.2, estĂĄn afectados por las vulnerabilidades reportadas:
- Ad hoc Transfer Module,
- Manager interface.
Shubham Shah y Sean Yeoh, de Assetnote, y Cristian Mocanu, de Deloitte, han reportado 8 vulnerabilidades, de las cuales 2 son de severidad crĂtica, 3 de severidad alta, y de 3 severidad media.
La explotaciĂłn de estas vulnerabilidades podrĂa permitir a un atacante ejecutar comandos de forma remota, realizar modificaciones de ficheros y ejecutar cĂłdigo en los recursos afectados.
El equipo de Progress WS_FTP recomienda encarecidamente actualizar a la Ășltima versiĂłn disponible, la versiĂłn de software 8.8.2.
Las vulnerabilidades crĂticas se describen a continuaciĂłn:
- CVE-2023-40044: un atacante preautenticado podĂa aprovechar una vulnerabilidad de deserializaciĂłn .NET en el mĂłdulo Ad Hoc Transfer para ejecutar comandos remotos en el sistema operativo WS_FTP Server subyacente.
- CVE-2023-42657: vulnerabilidad de cruce de directorios. Un atacante podrĂa aprovechar esta vulnerabilidad para realizar operaciones de archivo (eliminar, renombrar, rmdir y mkdir) en archivos y carpetas fuera de su ruta de carpeta autorizada. Los atacantes tambiĂ©n podrĂan escapar del contexto de la estructura de archivos del servidor y realizar el mismo nivel de operaciones en ubicaciones de archivos y carpetas en el sistema operativo subyacente.
Para el resto de vulnerabilidades de severidad alta y media se han asignado los siguientes identificadores respectivamente: CVE-2023-40045, CVE-2023-40046, CVE-2023-40047, CVE-2023-40048, CVE-2022-27665, CVE-2023-40049.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.