Multiples vulnérabilités dans Progress WS_FTP Server
RISQUES DE SÉCURITÉ
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance (XSS)
SYSTÈMES AFFECTÉS
- WS_FTP Server 2020.0.4 versions antérieures à 8.7.4
- WS_FTP Server 2022.0.2 versions antérieures à 8.8.2
RÉSUMÉ
WinSock File Transfer Protocol, ou WS_FTP, est un progiciel de transfert de fichiers sécurisé produit par Ipswitch, Inc. Ipswitch est un producteur de logiciels basé dans le Massachusetts, créé en 1991 et axé sur la mise en réseau et le partage de fichiers.
De multiples vulnérabilités ont été découvertes dans Progress WS_FTP Server. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à l'intégrité des données.
SOLUTION
- Se référer au bulletin de sécurité Progress du 27 septembre 2023 pour l'obtention des correctifs.
Source: CERT FR