VDB-238293 · CVE-2023-41265 · GCVE-0-2023-41265

Qlik Sense Enterprise en Windows HTTP Request escalada de privilegios

CVSS Puntuación meta temporal	Precio actual del exploit (≈)	Puntuación de interés CTI
8.5	$0-$5k	0.00

Resumeninformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en Qlik Sense Enterprise. Está afectada una función desconocida en el componente HTTP Request Handler. El manejo da lugar a una vulnerabilidad desconocida. Esta vulnerabilidad se cataloga como CVE-2023-41265. El ataque puede realizarse a distancia. También se encuentra disponible un exploit. Se sugiere aplicar un parche para remediar este problema.

Detallesinformación

Una vulnerabilidad clasificada como crítica fue encontrada en Qlik Sense Enterprise en Windows. Una función desconocida del componente HTTP Request Handler es afectada por esta vulnerabilidad. Los efectos exactos de un ataque exitoso no son conocidos. El resumen de CVE es:

Una vulnerabilidad de HTTP Request Tunneling detectada en Qlik Sense Enterprise para Windows, para las versiones Mayo 2023 Parche 3 y anteriores, Febrero 2023 Parche 7 y anteriores, Noviembre 2022 Parche 10 y anteriores, y Agosto 2022 Parche 12 y anteriores permite a un atacante remoto escalar privilegios tunelizando peticiones HTTP en la petición HTTP sin procesar. Esto le permite enviar peticiones que son ejecutadas por el servidor del backend que aloja la aplicación de repositorio. Esto se soluciona en la versión Agosto de 2023 IR, Mayo de 2023 Parche 4, Febrero de 2023 Parche 8, Noviembre de 2022 Parche 11, y Agosto de 2022 Parche 13.

La vulnerabilidad fue publicada el 2023-08-30 (confirmado). El advisory puede ser descargado de community.qlik.com. La vulnerabilidad es identificada como CVE-2023-41265. No son conocidos los detalles técnicos, pero hay un exploit disponible.

Fue declarado como atacado.

Aplicando un parche es posible eliminar el problema. El parche puede ser descargado de community.qlik.com.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Productoinformación

Proveedor

Qlik

Nombre

Sense Enterprise

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 8.6
VulDB Puntuación meta temporal: 8.5

VulDB Puntuación base: 6.3
VulDB Puntuación temporal: 6.0
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 9.9
NVD Vector: 🔍

CNA Puntuación base: 9.6
CNA Vector (MITRE): 🔍

CVSSv2información

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vector	Complejidad	Autenticación	Confidencialidad	Integridad	Disponibilidad
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear
Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear	Desbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Escalada de privilegios
CWE: CWE-444
CAPEC: 🔍
ATT&CK: 🔍

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔍
Estado: Atacado

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Añadido: 🔍
KEV ¿Hasta cuándo?: 🔍
KEV Contramedidas: 🔍
KEV Ransomware: 🔍
KEV Aviso: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍