今年6月，文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞，能讓遠程攻擊者訪問其數據庫并執行任意代碼。最近，MOVEit Transfer 母公司Progress Software又披露了三個新漏洞。

這三個漏洞分別是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934，其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞漏洞有關。

SQL 注入漏洞能讓攻擊者利用它操縱數據庫并運行他們想要的任何代碼。攻擊者可以將專門設計的有效負載發送到受影響應用程序的某些端點，從而更改或暴露數據庫中的敏感數據。

這其中最為嚴重的漏洞為CVE-2023-36934，能夠無需登錄即被利用，意味著即使沒有有效憑證的攻擊者也有可能利用該漏洞，但到目前為止，還沒有關于攻擊者積極利用此漏洞的報告。

而CVE-2023-36932能讓登錄的攻擊者利用該漏洞來獲得對 MOVEit Transfer 數據庫的未經授權的訪問；CVE-2023-36933 則是一個允許攻擊者意外關閉 MOVEit Transfer 程序的漏洞。

MOVEit于今年6月披露的漏洞顯示它們已經被Clop 勒索軟件組織利用，數千家使用該服務的企業組織受到影響。一直在跟蹤局勢的 Emsisoft 威脅分析師布雷特·卡洛 (Brett Callow) 表示，至少有 20 所美國學校和超過 1750 萬人的信息受到影響。

其他企業，石油巨頭殼牌曾在6月15日證實自己受到了MOVEit漏洞的影響，英國廣播公司BBC 和英國航空公司 (BA) 、南非零售巨頭Clicks等企業也表示自己是受害者。

此次新批露的漏洞影響多個 MOVEit Transfer 版本，但目前均已被MOVEit Transfer修復。Progress Software 已為所有主要 MOVEit Transfer 版本提供了必要的更新，強烈建議用戶更新到 MOVEit Transfer 的最新版本，以降低這些漏洞帶來的風險。