出典: Security NEXT – https://www.security-next.com/180124
「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開
「MOVEit WAF」にコマンドインジェクションの脆弱性- 修正版が公開
Progress Softwareが提供するセキュリティ対策製品「MOVEit WAF」に複数の脆弱性が明らかとなった。脆弱性を修正したアップデートが提供されている。
同社が提供するファイル転送ソリューション「MOVEit Transfer」の保護に特化したウェブアプリケーションファイアウォール(WAF)製品「MOVEit WAF」に脆弱性「CVE-2025-13444」「CVE-2025-13447」が判明したもの。
いずれもユーザーインタフェースやAPIにおけるコマンドインジェクションの脆弱性。
ユーザー管理権限が必要とされるが、リモートから悪用が可能で、「MOVEit WAF」のベースとなる「LoadMaster」アプライアンス上において任意のコードを実行されるおそれがあるという。
同社は、共通脆弱性評価システム「CVSSv3.1」において、ベーススコアをともに「8.4」とし、重要度を4段階中2番目にあたる「高(High)」とレーティングした。
「MOVEit WAF 7.2.62.2」にて脆弱性を修正。
