esenfrdeitptru

Vulnerabilidades críticas corregidas para Qlik Sense Enterprise para Windows

AS-028-2024

Fecha: 12/Abr/2024

Resumen:

Se han identificado dos problemas de seguridad en Qlik Sense Enterprise para Windows y se han puesto a disposición los parches. Si las dos vulnerabilidades se combinan y se explotan con éxito, estos problemas podrían llevar a un compromiso del servidor que ejecuta el software Qlik Sense, incluida la ejecución remota de código (RCE) no autenticada. La primera vulnerabilidad está clasificada como CVE-2023-41266 con una calificación de 8.2 y la segunda está clasificada como CVE-2023-41265, con una calificación de 9.6.

Estos problemas fueron identificados e informados responsablemente a Qlik por Adam Crosser y Thomas Hendrickson de Praetorian.

Software afectado.

Todas las versiones de Qlik Sense Enterprise para Windows anteriores a estas versiones se ven afectadas:

  • Mayo 2023 Parche 3 
  • Febrero 2023 Parche 7
  • Noviembre 2022 Parche 10
  • Agosto 2022 Parche 12

Primera vulnerabilidad: Con una validación incorrecta de la entrada proporcionada por el usuario, es posible que un atacante remoto no autenticado genere una sesión anónima que le permita realizar solicitudes HTTP a puntos finales no autorizados.

Segunda vulnerabilidad: Validación incorrecta de los encabezados HTTP, un atacante remoto puede elevar sus privilegios mediante la tunelización de las solicitudes HTTP, lo que permite ejecutar solicitudes HTTP en el servidor backend que aloja la aplicación del repositorio.

Recomendación.

Actualizar Qlik Sense Enterprise para Windows a una versión que contenga correcciones para estos problemas. Los parches están disponibles para las siguientes versiones:

Versión inicial de agosto de 2023
Parche 4 de mayo de 2023
Parche 8 de febrero de 2023
Parche 11 de noviembre de 2022
Parche 13 de agosto de 2022

Todo el software de Qlik se puede descargar desde la página oficial de descargas de Qlik Qlik Download page (se requiere inicio de sesión del cliente).

Referencia:

https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/ta-p/2110801

Tlp Clear 2023