Prezado cliente,
No dia 18/01 a Progress divulgou a existência de duas vulnerabilidades referente ao serviço WEB
Transport no PASOE (Progress Application Server for OpenEdge), das quais são afetadas nas seguintes
versões:
OpenEdge 11.7.17 ou anterior
OpenEdge 12.2.12 ou anterior
OpenEdge 12.7 Innovation ou anterior
Importante ressaltar que o Datasul, apesar de fazer uso do PASOE, não utiliza o módulo WEB
Transport.
Entretanto, para os clientes on-premises pedimos a atenção para verificar se o módulo WEB Transport
está habilitado em seus respectivos ambientes e se em caso positivo, proceder com a atualização do
OpenEdge para a versão 11.7.18, 12.2.13 or 12.8.0 ou superior.
Para os clientes com ambientes hospedados na TOTVS Cloud, houve um comunicado enviado ontem.
As vulnerabilidades são:
1 – Arbitrary File Upload Vulnerability in WEB Transport
CVE-2023-40051
https://nvd.nist.gov/vuln/detail/CVE-2023-40051
https://community.progress.com/s/article/Important-Progress-OpenEdge-Critical-Alert-for-ProgressApplication-Server-in-OpenEdge-PASOE-Arbitrary-File-Upload-Vulnerability-in-WEB-Transport
CVSS: 9.0 (Crítica)
Descrição: Permite acesso a todos os diretórios relacionados a conta de serviço utilizada para inicializar o
PASOE. Se essa conta tiver privilégios de escrita, o sistema estará vulnerável ao upload de arquivos
maliciosos.
Mitigação: Atualização do OpenEdge para as versões – OpenEdge 11.7.18, 12.2.13 or 12.8.0 ou superior.
2 – Denial of Service Vulnerability in WEB Transport
https://www.cve.org/CVERecord?id=CVE-2023-40052
CVSS: 7.5 (Alta)
Descrição: Um invasor capaz de criar solicitações web malformadas pode causar a interrupção do serviço
PASOE. Múltiplos ataques de negação de serviço (DDoS) desse tipo podem resultar na sobrecarga do
servidor com solicitações inválidas, comprometendo sua capacidade de processar solicitações legítimas e
prejudicando o desempenho do sistema.
Mitigação: Atualização do OpenEdge para as versões – OpenEdge 11.7.18, 12.2.13 or 12.8.0 ou superior.
Agradecemos a parceria,
TOTVS