Qlik - CVE-2023-48365
Date de publication :
Date de mise à jour :
Un défaut de contrôle de requêtes HTTP dans Qlik Sense Entreprise permet à un attaquant authentifié, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Exploitation
La vulnérabilité exploitée est du type
CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Qlik Sense Entreprise pour Windows
Versions November 2021 Patch 16 et antérieures
Versions February 2022 Patch 14 et antérieures
Versions May 2022 Patch 15 et antérieures
Versions August 2022 Patch 13 et antérieures
Versions November 2022 Patch 11 et antérieures
Versions February 2023 Patch 9 et antérieures
Versions May 2023 Patch 5 et antérieures
Versions August 2023 Patch 1
Solutions ou recommandations
Appliquer le Correctif Patch 17 à Qlik Sense Entreprise pour Windows version November 2021.
Appliquer le Correctif Patch 15 à Qlik Sense Entreprise pour Windows version February 2022.
Appliquer le Correctif Patch 16 à Qlik Sense Entreprise pour Windows version May 2022.
Appliquer le Correctif Patch 14 à Qlik Sense Entreprise pour Windows version August 2022.
Appliquer le Correctif Patch 12 à Qlik Sense Entreprise pour Windows version November 2022.
Appliquer le Correctif Patch 10 à Qlik Sense Entreprise pour Windows version February 2023.
Appliquer le Correctif Patch 6 à Qlik Sense Entreprise pour Windows version May 2023.
Appliquer le Correctif Patch 2 à Qlik Sense Entreprise pour Windows version August 2023.
Des informations complémentaires sont disponibles dans le bulletin de Qlik.