CVE-2023-35708 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Web 应用中的 **SQL 注入** 漏洞。 💥 **后果**：攻击者可绕过认证，直接操控数据库，导致数据被 **修改** 或 **泄露**。

🔍 **缺陷点**：MOVEit Transfer Web 应用程序处理请求时，未对输入进行充分过滤。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但属于典型的 **SQL 注入** 类缺陷。

📦 **受影响版本**： • 2021.0.8 (13.0.8) 之前 • 2021.1.6 (13.1.6) 之前 • 2022.0.6 (14.0.6) 之前 • 2022.1.7 (14.1.7) 之前 • 2023.0.3 (15.0.3) 之前

🕵️ **黑客权限**：**未经身份验证** 即可利用。 📂 **数据风险**：可 **未经授权访问** 数据库，实现内容的 **修改** 和 **披露**。

🚪 **利用门槛**：**极低**。 ✅ **无需认证**：攻击者无需登录即可提交构造好的 Payload 进行攻击。

💻 **现成 Exp**：**有**。 🔗 项目discovery 的 nuclei-templates 中已提供检测模板 (CVE-2023-35708.yaml)。

🔎 **自查方法**： 1. 检查软件版本是否在受影响列表中。 2. 使用 Nuclei 等工具扫描特定端点。 3. 关注是否有异常的数据库查询行为。

🛡️ **官方修复**：**已修复**。 ✅ **安全版本**： • 2020.1.10 (12.1.10) • 2021.0.8 (13.0.8) • 2021.1.6 (13.1.6) • 2022.0.6 (14.0.6) • 2022.1.7 (14.1.7) • 2023.0.3 (15.0.3)

⏳ **临时规避**： • 立即升级到上述 **固定版本**。 • 若无法升级，建议暂时 **隔离** 该服务或限制网络访问。 • 参考 Progress 官方安全公告。

🔥 **优先级**：**极高 (Critical)**。 💡 **建议**：由于 **无需认证** 且涉及 **数据库核心数据**，建议 **立即** 评估并打补丁，防止数据泄露。