Progress Software是被广泛利用的文档传输解决方案MOVEit的制造商,已经为其WS_FTP产品发布了紧急安全补丁。发现了八个漏洞,影响了该软件的临时传输模块和WS_FTP的服务器管理界面。
这些漏洞的 CVSS 严重性评分介于 5.3 和 10 之间。CVSS 代表通用漏洞评分系统,这是一个免费且开放的行业标准,用于评估计算机系统安全漏洞的严重性。CVSS 分数映射到不同的严重性等级:无:0.0,低:0.1 – 3.9,中:4.0 – 6.9,高:7.0 – 8.9,严重:9.0 – 10.0。
WS_FTP服务器 8.7.4 和 8.8.2 之前的版本容易受到 .NET 反序列化攻击。如果成功利用这些漏洞,攻击者可以在主机系统上执行命令。建议像《科学美国人》(Scientific American)、H&M(H&M)和丹佛野马美式橄榄球队(The Denver Broncos American Football Team)这样的知名客户更新他们的装置,以最大限度地降低风险。
负责失业登记和经济援助的法国政府机构Pôle emploi报告了MOVEit漏洞导致的数据泄露事件。该机构表示,“Pôle emploi意识到其提供商之一的信息系统遭到破坏,涉及披露求职者个人数据的风险。2022 年 <> 月注册的人以及工作中心的前用户可能会受到此数据盗窃的影响。
其他科技巨头发布安全更新
与Progress Software同时,由于新发现的漏洞,几家科技巨头本周也发布了安全更新。广泛使用的开源邮件服务器Exim发布了六个漏洞的公开细节,其中三个仍未修补。允许完全远程执行代码的两个最严重的问题。思科在IOS中的组加密传输VPN功能在野外利用了一个远程代码执行错误,迫使他们紧急发布补丁。苹果和谷歌通过苹果的 Safari 17 和 macOS 索诺玛补丁以及谷歌的 Chrome 2023 年第五个零日漏洞纠正了漏洞。