Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de escalada de privilegios en MOVEit Transfer de Progress

Fecha de publicación 16/06/2023
Identificador

INCIBE-2023-0228

Importancia
5 - Crítica
Recursos Afectados
  • DLL Drop-In (para los clientes que tengan instalada una de las versiones necesarias de la lista, no dejar versiones antiguas de archivos DLL en el sistema, eliminarlas completamente):
    • 2023.0.1 (15.0.1);
    • 2022.1.5 (14.1.5);
    • 2022.0.4 (14.0.4);
    • 2021.1.4 (13.1.4);
    • 2021.0.6 (13.0.6);
    • 2020.1.6 (12.1.6) o posteriores;
    • 2020.0.x (12.0) o anteriores.
  • Instalación completa (si se realiza esta instalación, aplicar las DLL del punto anterior):
    • 2023.0.x (15.0.x);
    • 2022.1.x (14.1.x);
    • 2022.0.x (14.0.x);
    • 2021.1.x (13.1.x);
    • 2021.0.x (13.0.x);
    • 2020.1.x (12.1);
    • 2020.0.x (12.0) o anteriores;
    • Cloud.
Descripción

Progress ha notificado una vulnerabilidad crítica en su producto MOVEit Transfer.

Solución
  • Si no se han aplicado los parches de mayo 2023: seguir los pasos de ese aviso y aplicarlos.
  • Si se han aplicados los parches de mayo 2023 y junio 2023: aplicar las medidas del apartado 'Immediate Mitigation Steps to Take' del aviso publicado hoy por el fabricante.
Detalle

Progress ha descubierto una vulnerabilidad en MOVEit Transfer que podría dar lugar a una escalada de privilegios y a un posible acceso no autorizado al entorno, permitiendo al atacante tomar el control del sistema afectado.

Listado de referencias
MOVEit Transfer Critical Vulnerability – CVE Pending (June 15, 2023)
Progress Software Releases Security Advisory for MOVEit Transfer Vulnerability
Etiquetas