In der Datenübertragungs-Software Moveit Transfer und Moveit Cloud von
Progress (vormals Ipswitch), die viele Unternehmen für den sicheren Dateiaustausch nutzen, wurde
bereits im Mai 2023 die kritische Schwachstelle CVE-2023-34362 entdeckt und mit einem Patch behoben. Jetzt warnt der Hersteller vor einem neuen Sicherheitsproblem, das unter CVE-2023-35036 läuft.
Es handelt sich um SQL-Injection-Schwachstellen in der Moveit-Transfer-Web-App, die es Angreifern ermöglichen, ohne Authentifizierung auf die Datenbank von Moveit Transfer zuzugreifen.
Laut der Sicherheitsmeldung sind alle Versionen von Moveit Transfer betroffen. Progress hat die Informationen zu beiden Schwachstellen zudem
auf einer speziellen Seite zusammengefasst.
Progress betont, dass alle Kunden des Produkts sofort aktualisiert werden sollten. Je nachdem, ob der Patch für die Mai-Lücke bereits eingespielt wurde oder nicht, sind dazu unterschiedliche Schritte erforderlich. Für die Aktualisierung stehen DLL-Drop-ins oder volle Installer für verschiedene Ausgaben von Moveit Transfer ab Version 2020.0.x bereit.
(ubi)