关于GoAnywhere MFT绕过身份验证创建管理员漏洞(CVE-2024-0204)的安全告知
时间:2024-02-08 15:33:28来源:信息安全部作者:梦之想科技
GoAnywhere MFT 用于保护与客户以及业务合作伙伴之间传输文件的安全,客户遍布全球各地,它支持协助法律合规和审计的安全加密协议、自动化。
漏洞详情
GoAnywhere MFT 存在身份认证绕过漏洞(CVE-2024-0204),未经身份验证的远程攻击者可利用该漏洞绕过身份认证创建管理员用户。
受影响版本中,用户完成初始设置后(已经创建管理员用户),当访问路径为/***/IninitialAccountSetup.xhtml时会重定向到/Dashboard.xhtml,但威胁者可通过在请求中包含/..;/来访问InitialAccountSetup.xhtml,并利用该漏洞创建具有管理员权限的新用户帐户,可能导致未授权访问和执行恶意操作。
影响范围
Fortra GoAnywhere MFT 6.x >= 6.0.1
Fortra GoAnywhere MFT 7.x < 7.4.1
漏洞复现
修复建议
目前官方已发布安全修复版本,更新至安全版本7.4.1
产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
参考链接
https://my.goanywhere.com/webclient/ViewSecurityAdvisories.xhtml