Progress Software,廣泛利用文件傳輸解決方案MOVEit,具有為其 WS_FTP 產品發布了緊急安全修補程式。發現了八個漏洞,影響了軟體的即席傳輸模組和WS_FTP 的伺服器管理介面。
這些漏洞的CVSS 嚴重性評分範圍在5.3 到10 之間。CVSS 代表通用漏洞評分系統,它是一個免費的評估電腦系統安全漏洞嚴重性的開放產業標準。 CVSS 分數對應到不同的嚴重性評分:無:0.0、低:0.1 – 3.9、中:4.0 – 6.9、高:7.0 – 8.9 和嚴重:9.0 – 10.0.
8.7 之前的版本。 WS_FTP Server 的4 和8.8.2 容易受到.NET 反序列化攻擊。如果成功利用,這些漏洞可能允許攻擊者在主機系統上執行命令。建議《科學美國人》、H&M 和丹佛野馬美式橄欖球隊等知名客戶更新其安裝,以最大程度地降低風險。
負責失業登記和經濟援助的法國政府機構 Pôle emploi 報告了由 MOVEit 漏洞導致的資料外洩事件。該機構表示,「Pôle emploi 意識到其一家供應商的資訊系統遭到侵犯,存在洩露求職者個人資料的風險。」2022 年 2 月註冊的人員以及就業中心的前用戶,可能會受到此資料竊取的影響。
其他科技巨頭發布安全更新
與Progress Software 同時,幾家科技巨頭也於本週發布了安全更新針對新發現的漏洞。Exim,廣泛使用的開源郵件伺服器,已發佈六個缺陷的公開詳細信息,其中三個尚未修補。兩個最嚴重的問題允許完全遠端執行程式碼。IOS 中的思科組加密傳輸VPN 功能有一個遠端程式碼執行漏洞被廣泛利用,迫使他們緊急發布修補程式。 Apple 和 Google 透過 Apple 的 Safari 17 和 macOS Sonoma 補丁以及 Google 的 Chrome 2023 年第五個零日漏洞修復了漏洞。