Aktywnie wykorzystywana w atakach
Qlik Sense Path Traversal Vulnerability
Qlik — Sense · Figuruje w katalogu CISA KEV od 2023-12-07. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply remediations or mitigations per vendor instructions or discontinue use of the product if remediation or mitigations are unavailable.
CVE-2023-41266
WysokieCVSS 8.2KEVPrawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 100 — wyżej niż 100% wszystkich znanych CVE
Streszczenie
W Qlik Sense Enterprise dla systemu Windows zidentyfikowano podatność typu path traversal, która występuje w wersjach do maja 2023 Patch 3, lutego 2023 Patch 7, listopada 2022 Patch 10 oraz sierpnia 2022 Patch 12. Umożliwia to nieautoryzowanemu zdalnemu atakującemu generowanie anonimowej sesji i przesyłanie żądań HTTP do nieautoryzowanych punktów końcowych.
Ocena ryzyka
Podatność ta stwarza ryzyko nieautoryzowanego dostępu do systemu, co może prowadzić do ujawnienia danych lub przejęcia kontroli nad aplikacją. Organizacje powinny niezwłocznie zaktualizować swoje oprogramowanie, aby zminimalizować ryzyko.
Rekomendacja
Zaleca się aktualizację do wersji zawierających poprawki, tj. sierpnia 2023 IR, maja 2023 Patch 4, lutego 2023 Patch 8, listopada 2022 Patch 11 oraz sierpnia 2022 Patch 13, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
A path traversal vulnerability found in Qlik Sense Enterprise for Windows for versions May 2023 Patch 3 and earlier, February 2023 Patch 7 and earlier, November 2022 Patch 10 and earlier, and August 2022 Patch 12 and earlier allows an unauthenticated remote attacker to generate an anonymous session. This allows them to transmit HTTP requests to unauthorized endpoints. This is fixed in August 2023 IR, May 2023 Patch 4, February 2023 Patch 8, November 2022 Patch 11, and August 2022 Patch 13.

