CVE-2023-41266

CVSS 8.2 HIGHEPSS 85.0%● KEVCWE-22

Em resumo

Uma falha de travessia de caminho no Qlik Sense Enterprise for Windows permite que atacantes contornem a autenticação e criem sessões anônimas, acessando áreas do sistema que deveriam estar protegidas.

Detalhe técnico

Atacantes remotos não autenticados podem explorar uma vulnerabilidade de travessia de caminho (CWE-22) para gerar sessões anônimas e enviar requisições HTTP para endpoints restritos, contornando controles de acesso. Não há necessidade de autenticação prévia.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A path traversal vulnerability found in Qlik Sense Enterprise for Windows for versions May 2023 Patch 3 and earlier, February 2023 Patch 7 and earlier, November 2022 Patch 10 and earlier, and August 2022 Patch 12 and earlier allows an unauthenticated remote attacker to generate an anonymous session. This allows them to transmit HTTP requests to unauthorized endpoints. This is fixed in August 2023 IR, May 2023 Patch 4, February 2023 Patch 8, November 2022 Patch 11, and August 2022 Patch 13.

CVSS:3.1/AC:L/AV:N/A:N/C:H/I:L/PR:N/S:U/UI:N

Produtos afetados

n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/ta-p/2110801 https://community.qlik.com/t5/Release-Notes/tkb-p/ReleaseNotes https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-41266