{ "document" : { "aggregate_severity" : { "text" : "niedrig" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Progress MOVEit ist eine sichere Managed File Transfer (MFT)-Software, die Transparenz und Kontrolle über die Dateiübertragungsaktivitäten bietet.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, authentisierter Angreifer kann eine Schwachstelle in Progress Software MOVEit ausnutzen, um Sicherheitsvorkehrungen zu umgehen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Windows", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2024-0674 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0674.json" }, { "category" : "self", "summary" : "WID-SEC-2024-0674 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0674" }, { "category" : "external", "summary" : "GitHub Advisory Database vom 2024-03-20", "url" : "https://github.com/advisories/GHSA-2ccx-3vjx-pj7f" }, { "category" : "external", "summary" : "MOVEit Transfer Service Pack vom 2024-03-20", "url" : "https://community.progress.com/s/article/MOVEit-Transfer-Service-Pack-March-2024" } ], "source_lang" : "en-US", "title" : "Progress Software MOVEit: Schwachstelle ermöglicht Umgehen von Sicherheitsvorkehrungen", "tracking" : { "current_release_date" : "2024-11-24T23:00:00.000+00:00", "generator" : { "date" : "2024-11-25T09:15:33.347+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.8" } }, "id" : "WID-SEC-W-2024-0674", "initial_release_date" : "2024-03-20T23:00:00.000+00:00", "revision_history" : [ { "date" : "2024-03-20T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" }, { "date" : "2024-11-24T23:00:00.000+00:00", "number" : "2", "summary" : "Produktzuordnung überprüft" } ], "status" : "final", "version" : "2" } }, "product_tree" : { "branches" : [ { "branches" : [ { "branches" : [ { "category" : "product_version_range", "name" : "Transfer <15.1.4", "product" : { "name" : "Progress Software MOVEit Transfer <15.1.4", "product_id" : "T033577" } }, { "category" : "product_version", "name" : "Transfer 15.1.4", "product" : { "name" : "Progress Software MOVEit Transfer 15.1.4", "product_id" : "T033577-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:moveit_transfer:transfer__15.1.4" } } }, { "category" : "product_version_range", "name" : "Transfer <15.0.9", "product" : { "name" : "Progress Software MOVEit Transfer <15.0.9", "product_id" : "T033578" } }, { "category" : "product_version", "name" : "Transfer 15.0.9", "product" : { "name" : "Progress Software MOVEit Transfer 15.0.9", "product_id" : "T033578-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:moveit_transfer:transfer__15.0.9" } } }, { "category" : "product_version_range", "name" : "Transfer <14.1.12", "product" : { "name" : "Progress Software MOVEit Transfer <14.1.12", "product_id" : "T033579" } }, { "category" : "product_version", "name" : "Transfer 14.1.12", "product" : { "name" : "Progress Software MOVEit Transfer 14.1.12", "product_id" : "T033579-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:moveit_transfer:transfer__14.1.12" } } }, { "category" : "product_version_range", "name" : "Transfer <14.0.11", "product" : { "name" : "Progress Software MOVEit Transfer <14.0.11", "product_id" : "T033580" } }, { "category" : "product_version", "name" : "Transfer 14.0.11", "product" : { "name" : "Progress Software MOVEit Transfer 14.0.11", "product_id" : "T033580-fixed", "product_identification_helper" : { "cpe" : "cpe:/a:progress:moveit_transfer:transfer__14.0.11" } } } ], "category" : "product_name", "name" : "MOVEit" } ], "category" : "vendor", "name" : "Progress Software" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2024-2291", "notes" : [ { "category" : "description", "text" : "Es besteht eine Schwachstelle in der Progress Software MOVEit. Dieser Fehler besteht in der Transfer Komponente aufgrund eines Protokollierungsproblems, das dazu führt, dass Benutzeraktivitäten nicht ordnungsgemäß protokolliert werden. Durch die Manipulation einer Anfrage zur Umgehung des Protokollierungsmechanismus innerhalb der Webanwendung kann ein entfernter, authentifizierter Angreifer diese Schwachstelle ausnutzen, um die Sicherheitsmaßnahmen zu umgehen." } ], "product_status" : { "known_affected" : [ "T033578", "T033579", "T033577", "T033580" ] }, "release_date" : "2024-03-20T23:00:00.000+00:00", "title" : "CVE-2024-2291" } ] }