Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023-48365 con gravità “critica” – già sanata dal vendor a settembre 2023 – relativa a Qlik Sense, piattaforma di business intelligence e data integration. Tale vulnerabilità potrebbe consentire a un attaccante non autenticato l’esecuzione da remoto di codice arbitrario sui sistemi target.

Tipologia

• Remote Code Execution
• Privilege Escalation

Descrizione

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023-48365 con gravità “critica” – già sanata dal vendor a settembre 2023 – relativa a Qlik Sense Enterprise per Windows, piattaforma di business intelligence e data integration. Tale vulnerabilità, sfruttando un attacco di tipo “Request/Response Smuggling”, potrebbe consentire a un attaccante non autenticato l’esecuzione da remoto di codice arbitrario sui sistemi operativi che ospitano versioni vulnerabili di Qlik Sense.

L’attacco è possibile grazie ad un’errata validazione degli header HTTP, che consentirebbe esecuzione di richieste HTTP con previlegi elevati sul sistema operativo ospite.

Prodotti e versioni affette

Qlik Sense Enterprise per Windows, versioni uguali o precedenti alle:

• August 2023 Patch 1
• May 2023 Patch 5
• February 2023 Patch 9
• November 2022 Patch 11
• August 2022 Patch 13
• May 2022 Patch 15
• February 2022 Patch 14
• November 2021 Patch 16

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile al link presente nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2023-48365

Riferimenti

https://community.qlik.com/t5/Official-Support-Articles/Critical-Security-fixes-for-Qlik-Sense-Enterprise-for-Windows/tac-p/2120510

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.