CVE-2023-41265
CVE-2023-41265
En resumen
Un fallo en Qlik Sense permite que atacantes envíen solicitudes HTTP especialmente diseñadas que eludan controles de seguridad y ejecuten comandos en el servidor backend, obteniendo acceso no autorizado a datos sensibles y funciones del sistema.
Detalle técnico
Vulnerabilidad de Tunneling de Solicitudes HTTP (CWE-444) en Qlik Sense Enterprise for Windows permite que atacantes remotos inyecten solicitudes HTTP sin procesar que sean ejecutadas por el servidor backend del repositorio, eludiendo controles de autenticación y autorización. Un atacante puede explotar esto enviando solicitudes HTTP maliciosas para elevar privilegios y acceder a funcionalidades restringidas sin credenciales válidas.
Resumen generado y traducido por IA a partir de la descripción oficial.
An HTTP Request Tunneling vulnerability found in Qlik Sense Enterprise for Windows for versions May 2023 Patch 3 and earlier, February 2023 Patch 7 and earlier, November 2022 Patch 10 and earlier, and August 2022 Patch 12 and earlier allows a remote attacker to elevate their privilege by tunneling HTTP requests in the raw HTTP request. This allows them to send requests that get executed by the backend server hosting the repository application. This is fixed in August 2023 IR, May 2023 Patch 4, February 2023 Patch 8, November 2022 Patch 11, and August 2022 Patch 13.
CVSS:3.1/AC:L/AV:N/A:N/C:H/I:H/PR:L/S:C/UI:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
githubgithub.com/praetorian-inc/zeroqlik-detect★ 5⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →