Fortra 修复FileCatalyst 传输工具中的严重RCE漏洞

最新推荐文章于 2024-09-08 07:00:00 发布
最新推荐文章于 2024-09-08 07:00:00 发布
阅读量423 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519101&idx=2&sn=525ea40a4a977a6379e49fae31ec7b42&chksm=eba78a3513c51f21aa527a85d0d51d30b6c935393c9da66ec1bcf4ee43c331f11d739f4fd4d4&scene=126&sessionid=0
版权

3f54ef1d97b6ffdbe5fc4f6d7474dc7c.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Fortra 公司发布了影响文件传输解决方案FileCatalyst 的一个已修复漏洞 (CVE-2024-25153) 详情。该漏洞可导致攻击者获得易受攻击服务器上的远程代码执行 (RCE) 权限。

该漏洞的CVSS评分为9.8分。Fortra 公司在上周发布的安全公告中提到,“FileCatalyst Workflow Web Portal 的 ‘ftpservlet’ 中存在一个目录遍历漏洞,可导致文件通过一个特殊构造的 POST 请求,被上传到预定 ‘uploadtemp’ 目录以外的地方。如果文件被成功上传到该 web 门户的 DocumentRoot 中,则特殊构造的 JSP 文件可用于执行代码,包括 web shell等。”

Fortra 公司表示,该漏洞首次报送于2023年8月9日,并在两天后没有获得CVE编号的情况下在 FileCatalyst Workflow 版本 5.1.6 Build 114中修复。Fortra 公司在2023年12月初被授权为CVE编号发布机构 (CNA)。

LRQA Nettitude 公司的安全研究员 Tom Wedgbury 发现并报送了改漏洞,之后发布了完整的 PoC 利用,说明了该漏洞如何可悲武器化于上传 web shell 并执行任意系统命令。

Fortra 在2024年1月还修复了位于 FileCatalyst Direct 中的两个其它漏洞(CVE-2024-25154和CVE-2024-25155),它们可导致信息泄露和代码执行后果。

鉴于 Fortra 文件管理传输 (MFT) 工具GoAnywhere 去年遭多个威胁行动者如 CI0P 的利用,建议用户应用必要更新缓解潜在威胁。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

速修复!Fortra GoAnywhere MFT 中存在严重的认证绕过漏洞

Fortinet 提醒注意端点管理软件中的严重RCE漏洞

思科提醒注意通信软件中的严重 RCE 漏洞

Opera 文件共享特性中存在RCE漏洞

原文链接

https://thehackernews.com/2024/03/fortra-patches-critical-rce.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

e8f17b77a1deda60f8219ce015f7123a.jpeg

435034d4b39e06fbe4d96dadb8dfc888.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   a4d791d8f87a5f8b3ad3fc117b3f4bd5.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
想要更高效的文件传输?这些aspera替代方案可以助你一臂之力
镭速的博客
12-05 371
是一款适合企业的文件传输软件,提供一站式文件传输解决方案,专注于以TB级别的大文件高效传输、远距离加速传输、跨国网络数据传输、内外网数据加速传输、文件资产安全外发、文件和组织权限管理为核心的业务,致力于助力企业发展腾飞。Binfer 是一款简单易用的 P2P 文件传输软件,它采用点对点技术,可以在多种平台上迅速、高效地传输文件,避免了传统 FTP 方式下的带宽瓶颈等问题。然而,幸运的是,市场上也存在着一些优秀的Aspera替代方案,它们不仅可以满足企业的传输需求,而且还有着更加优秀的性价比。
2024主流跨网文件传输系统推荐 | 有哪些方式可以实现文件跨网传输
2201_75471311的博客
07-08 922
FileLink是一款专为企业设计的跨网文件传输解决方案,以其高度的安全性、稳定性和灵活性而广受好评。该系统采用先进的加密技术和安全审查机制,确保文件在传输过程的安全性和保密性。同时,FileLink支持多种交换方式,包括邮件传输、文件转站、网盘模式共享等。
有什么好用的跨网文件交换系统吗?跨网文件交换系统推荐
D26188866604的博客
08-08 568
该系统采用了多重加密技术和安全措施,包括国际标准的加密算法和数字签名技术,确保文件在传输过程的安全性和保密性。同时,系统支持多种身份认证方式,如密码、短信等,有效防止非法用户的访问和操作。此外,FileLink还具备完善的日志审计功能,记录文件的上传、下载、删除、转发等操作,便于企业进行监控和追溯。系统采用了先进的文件传输技术,如断点续传、多线程传输、压缩传输等,大大提高了文件传输的速度和稳定性。同时,系统支持多种文件传输方式,如网页、客户端、邮件、移动端等,满足了不同用户的使用习惯和场景。
Aspera替代方案:探索这些安全且可靠的文件传输工具
镭速的博客
08-15 1160
科技的发展日新月异,文件的传输方式也在不断地更新换代。传统的邮件附件、FTP等方式已经难以满足人们对于传输速度和安全性的需求了。近年来,一些新兴的文件传输工具受到了人们的关注,其除了知名的Aspera之外,还有许多可靠安全的替代工具。在探讨之前,我们先来认识一下Aspera的优势和不足。Aspera最大的优势在于其极快的传输速度,可以通过使用UDP协议和FASP协议实现将文件的传输速度提高数倍,而且它还有着良好的可扩展性和高度的安全性,在各大知名企业间被广泛使用。然而,Aspera也存在一些不足之处。
Fortra 修复严重FileCatalyst Workflow硬编码密码问题
smellycat000的专栏
08-29 123
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Fortra 公司提醒称,FileCatalyst Workflow 存在一个严重的硬编码密码漏洞,可导致攻击者越权访问内部数据库以窃取数据并获得管理员权限。任何人可使用该硬编码密码远程访问被暴露的 FileCatalyst Workflow HyperSQL (HSQLDB) 数据库,获得对潜在敏感信息的越权访问权限。此外,这些数据库凭据可滥...
修复!Progress Telerik 存在严重的认证绕过漏洞
smellycat000的专栏
06-04 217
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士研究员发布 PoC 利用脚本,演示了Progress Telerik Report Server 的一个认证绕过漏洞CVE-2024-4358(CVSS评分9.8)。Telerik Report Server 是一个受 API 驱动的端对端加密报告管理解决方案,供组织机构梳理报告的创建、分享、存储、发行和调度。网络安全研究员 Sina Khei...
哪些有让你感觉到工作效率翻倍的工具
前端探索者
09-08 730
在日益繁忙的工作环境,选择合适的编程工具已成为提升开发者工作效率的关键。不同的工具能够帮助我们简化代码编写、自动化任务、提升调试速度,甚至让团队协作更加顺畅。那么,哪款编程工具让你的工作效率翻倍?是智能的代码编辑器,强大的版本控制工具,还是那些让你事半功倍的自动化脚本?让我们一起分享、探讨,找到能让效率飞升的秘密武器。在软件开发的世界里,效率是王道。随着技术的发展,新的编程工具层出不穷,它们承诺能提高生产力,减少重复劳动,甚至帮助开发者避免错误。但在这个工具的海洋,哪些是真正能让工作效率翻倍的神器呢。
渗透测试工具大全
2401_84466336的博客
05-24 1556
所有工具仅能在取得足够合法授权的企业安全建设使用,在使用所有工具过程,您应确保自己所有行为符合当地的法律法规。如您在使用所有工具的过程存在任何非法行为,您将自行承担所有后果,所有工具所有开发者和所有贡献者不承担任何法律及连带责任。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失。3不会收取任何广告费用,展示的所有工具链接与本人无任何利害关系。
FileCatalyst_Server_Quickstart
12-09
FileCatalyst_Server_Quickstart
sparse_grid_cc_dataset.rar_FORTRA_sparse_sparse grid
09-24
综上所述,FORTRAN SPARSE GRIS CC DATASHEET是FORTRAN语言实现的稀疏网格技术的一个实例,它提供了高效处理高维问题的工具,对于科学研究和工程计算具有重要价值。通过深入理解和应用“sparse_grid_cc_dataset.f90...
fortra.rar_sat
09-22
标题的"fortra.rar_sat"可能是指一个名为"fortra"的软件或程序,它与SAT(Satisfiability Problem,可满足性问题)有关,并且这个相关资料被压缩在名为"fortra.rar"的文件。RAR是一种常见的压缩文件格式,用于...
numerical-modeling-of-wave-field 各向同性、VTI、TTI以及双相介质波场数值模拟 Fortra
05-30
各向同性、VTI、TTI以及双相介质波场数值模拟 2D2VTI_RSG: 二维二分量VTI介质旋转交错网格计算程序 2D2_SSG_TTI: 二维二分量TTI介质交错网格计算程序 2D2_SSG_VTI: 二维二分量VTI介质交错网格计算程序 ...
压气机一维径级叠加特性计算程序STGSTK源代码
04-09
来自美国NASA-TP-2020报告“STGSTK: A computer code for predicting multistage axial flow compressor performance by a meanline stage stacking method”,采用级叠加法计算压气机一维特性,亲测可用。...
GoAnywhereMFT反序列化漏洞复现(CVE-2023-0669 )
qq_32445755的博客
02-28 988
GoAnywhereMFT是一个管理文件传输的解决方案,它简化了系统、员工、客户和贸易伙伴之间的数据交换。它通过广泛的安全设置、详细的审计跟踪提供集控制,并帮助将文件的信息处理为XML、EDI、CSV和JSON数据库。2月1日,Fortra(此前名称为HelpSystems)通知GoAnywhere MFT用户注意一个“远程代码注入利用0day”。之后该公司还发布了两份其它安全通知,每份通知都提供了缓解措施和妥协指标 (IoCs)。
漏洞复现 CVE-2023-0669 GoAnywhereMFT存在反序列化漏洞
nnn2188185的博客
04-17 817
GoAnywhereMFT管理端存在反序列化漏洞,攻击者利用该漏洞无需登录便可以远程执行任意命令。漏洞被追踪为CVE-2023-0669。
山东石油化工学院在辽宁2020-2024各专业最低录取分数及位次表.pdf
最新发布
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
Fortran语言入门教程:科学计算首选
Fortran语言虽然历史悠久,但因其在科学计算领域的强大功能和高效性能,依然是工科学生和科研人员的重要工具。掌握Fortran,不仅能提升在数值计算领域的编程能力,也为深入学习其他编程语言打下了坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值