{"id":819557,"date":"2023-07-07T13:16:47","date_gmt":"2023-07-07T15:16:47","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-autre-faille-sqli-critique-non-authentifiee-decouverte-dans-le-logiciel-de-transfert-moveit\/"},"modified":"2023-07-07T13:16:50","modified_gmt":"2023-07-07T15:16:50","slug":"une-autre-faille-sqli-critique-non-authentifiee-decouverte-dans-le-logiciel-de-transfert-moveit","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-autre-faille-sqli-critique-non-authentifiee-decouverte-dans-le-logiciel-de-transfert-moveit\/","title":{"rendered":"Une autre faille SQLi critique non authentifi\u00e9e d\u00e9couverte dans le logiciel de transfert MOVEit"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Swati Khandelwal<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ Cybermenace<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Progress Software a annonc\u00e9 la d\u00e9couverte et la correction d&#8217;une vuln\u00e9rabilit\u00e9 critique d&#8217;injection SQL dans MOVEit Transfer, un logiciel populaire utilis\u00e9 pour le transfert s\u00e9curis\u00e9 de fichiers.  De plus, Progress Software a corrig\u00e9 deux autres vuln\u00e9rabilit\u00e9s tr\u00e8s graves.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 d&#8217;injection SQL identifi\u00e9e, \u00e9tiquet\u00e9e comme <a rel=\"nofollow noopener\" href=\"https:\/\/community.progress.com\/s\/article\/MOVEit-Transfer-2020-1-Service-Pack-July-2023\" target=\"_blank\">CVE-2023-36934<\/a>pourrait potentiellement permettre \u00e0 des attaquants non authentifi\u00e9s d&#8217;obtenir un acc\u00e8s non autoris\u00e9 \u00e0 la base de donn\u00e9es MOVEit Transfer.<\/p>\n<p>Les vuln\u00e9rabilit\u00e9s d&#8217;injection SQL sont une faille de s\u00e9curit\u00e9 bien connue et dangereuse qui permet aux attaquants de manipuler les bases de donn\u00e9es et d&#8217;ex\u00e9cuter le code de leur choix.  Les attaquants peuvent envoyer des charges utiles sp\u00e9cialement con\u00e7ues \u00e0 certains terminaux de l&#8217;application affect\u00e9e, ce qui pourrait modifier ou exposer des donn\u00e9es sensibles dans la base de donn\u00e9es.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>La raison pour laquelle CVE-2023-36934 est si critique est qu&#8217;elle peut \u00eatre exploit\u00e9e sans avoir \u00e0 se connecter. Cela signifie que m\u00eame les attaquants sans informations d&#8217;identification valides peuvent potentiellement exploiter la vuln\u00e9rabilit\u00e9.  Cependant, \u00e0 ce jour, aucun rapport n&#8217;a signal\u00e9 que cette vuln\u00e9rabilit\u00e9 particuli\u00e8re \u00e9tait activement utilis\u00e9e par des attaquants.<\/p>\n<p>Cette d\u00e9couverte fait suite \u00e0 une s\u00e9rie de cyberattaques r\u00e9centes qui ont utilis\u00e9 une vuln\u00e9rabilit\u00e9 d&#8217;injection SQL diff\u00e9rente (CVE-2023-34362) pour cibler MOVEit Transfer avec le ran\u00e7ongiciel Clop.  Ces attaques ont entra\u00een\u00e9 le vol de donn\u00e9es et l&#8217;extorsion d&#8217;argent des organisations concern\u00e9es.<\/p>\n<p>Cette derni\u00e8re mise \u00e0 jour de s\u00e9curit\u00e9 de Progress Software corrige \u00e9galement deux autres vuln\u00e9rabilit\u00e9s tr\u00e8s graves : CVE-2023-36932 et CVE-2023-36933.<\/p>\n<p>CVE-2023-36932 est une faille d&#8217;injection SQL qui peut \u00eatre exploit\u00e9e par des attaquants connect\u00e9s pour obtenir un acc\u00e8s non autoris\u00e9 \u00e0 la base de donn\u00e9es MOVEit Transfer.  CVE-2023-36933, d&#8217;autre part, est une vuln\u00e9rabilit\u00e9 qui permet aux attaquants d&#8217;arr\u00eater de mani\u00e8re inattendue le programme MOVEit Transfer.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Gestion des acc\u00e8s privil\u00e9gi\u00e9s\u00a0: apprenez \u00e0 relever les principaux d\u00e9fis<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">D\u00e9couvrez diff\u00e9rentes approches pour relever les d\u00e9fis de la gestion des comptes privil\u00e9gi\u00e9s (PAM) et am\u00e9liorer votre strat\u00e9gie de s\u00e9curit\u00e9 des acc\u00e8s privil\u00e9gi\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">R\u00e9servez votre place<\/a><\/section>\n<p>Les chercheurs de HackerOne et de l&#8217;initiative Zero Day de Trend Micro ont signal\u00e9 de mani\u00e8re responsable Progress Software \u00e0 propos de ces vuln\u00e9rabilit\u00e9s.<\/p>\n<p>Ces vuln\u00e9rabilit\u00e9s affectent plusieurs versions de MOVEit Transfer, y compris 12.1.10 et versions pr\u00e9c\u00e9dentes, 13.0.8 et versions ant\u00e9rieures, 13.1.6 et versions ant\u00e9rieures, 14.0.6 et versions ant\u00e9rieures, 14.1.7 et versions ant\u00e9rieures et 15.0.3 et versions ant\u00e9rieures.<\/p>\n<p>Progress Software a mis \u00e0 disposition les mises \u00e0 jour n\u00e9cessaires pour toutes les versions majeures de MOVEit Transfer.  Il est fortement conseill\u00e9 aux utilisateurs de mettre \u00e0 jour vers la derni\u00e8re version de MOVEit Transfer afin de r\u00e9duire les risques pos\u00e9s par ces vuln\u00e9rabilit\u00e9s.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/another-critical-unauthenticated-sqli.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 juil. 2023\ue804Swati KhandelwalVuln\u00e9rabilit\u00e9 \/ Cybermenace Progress Software a annonc\u00e9 la d\u00e9couverte et la correction d&#8217;une vuln\u00e9rabilit\u00e9 critique d&#8217;injection SQL dans MOVEit Transfer, un logiciel populaire utilis\u00e9 pour le transfert s\u00e9curis\u00e9 de fichiers. De plus, Progress Software a corrig\u00e9 deux autres vuln\u00e9rabilit\u00e9s tr\u00e8s graves. La vuln\u00e9rabilit\u00e9 d&#8217;injection SQL identifi\u00e9e, \u00e9tiquet\u00e9e comme CVE-2023-36934pourrait potentiellement permettre \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":819558,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[172694,4640,4168,22,4158,4165,4161,429,8816,9048,4157,4159,4171,4170,6816,4167,4160,165873,4163,4162,4172,4169,124793,394,196,4166,4164],"class_list":["post-819557","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-authentifiee","tag-autre","tag-comment-pirater","tag-critique","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-decouverte","tag-faille","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-moveit","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-sqli","tag-transfert","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/819557","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=819557"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/819557\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/819558"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=819557"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=819557"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=819557"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}