GoAnywhere MFT身份认证绕过漏洞 (CVE-2024-0204)
日期:2024-01-27 10:41:54 发布人:信息化建设中心 浏览量:47
漏洞概要
|
漏洞名称 |
GoAnywhere MFT身份认证绕过漏洞 (CVE-2024-0204) |
|
发布时间 |
2024年1月24日 |
|
组件名称 |
GoAnywhere MFT |
|
影响范围 |
6.0.1 ≤ GoAnywhere MFT < 7.4.1 |
|
漏洞类型 |
远程代码执行 |
|
利用条件 |
1、用户认证:无需用户认证 2、前置条件:默认配置 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:容易,无需授权。 <综合评定威胁等级>:严重,能获取管理员权限。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
GoAnywhere MFT是一个管理文件传输的解决方案,它简化了系统、员工、客户和贸易伙伴之间的数据交换。它通过广泛的安全设置、详细的审计跟踪提供集中控制,并帮助将文件中的信息处理为XML、EDI、CSV和JSON数据库。
漏洞描述
2024年1月24日,深瞳漏洞实验室监测到一则GoAnywhere MFT存在身份认证绕过漏洞的信息,漏洞编号:CVE-2024-0204,漏洞威胁等级:严重。
该漏洞是由于权限校验错误,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行绕过认证攻击,最终获得管理员权限。
影响范围
目前受影响的GoAnywhere MFT版本:
6.0.1 ≤ GoAnywhere MFT < 7.4.1
解决方案
修复建议
1.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。