Framework - Linha Datasul - TEC - Vulnerabilidades CVE-2023-40051 e CVE-2023-40052 no Progress Application Server for OpenEdge - PASOE

Tempo aproximado para leitura: 00:03:36 min

Ocorrência
Vulnerabilidades CVE-2023-40051 e CVE-2023-40052 relacionadas ao PASOE

Ambiente
Framework - Framework (Linha Datasul) - PASOE - A partir do OpenEdge 12

Causa
Vulnerabilidade na WEB Transport do PASOE que afeta instalações iguais ou inferiores a 11.7.17, 12.2.12 e 12.7.

Solução
No dia 18/01 a Progress divulgou a existência de duas vulnerabilidades referente ao módulo WEB Transport no PASOE, das quais são afetadas nas seguintes versões:

OpenEdge 11.7.17 ou anterior
OpenEdge 12.2.12 ou anterior
OpenEdge 12.7 Innovation ou anterior

Importante ressaltar que o produto Datasul, apesar de fazer uso do PASOE, não utiliza o módulo WEB Transport.

Para os clientes on-premises pedimos a atenção para verificar se o módulo WEB Transport está habilitado em seus respectivos ambientes e se em caso positivo, proceder com a atualização do OpenEdge para a versão 11.7.18, 12.2.13 e 12.8.0 ou superior.

Para os clientes com ambientes hospedados na TOTVS Cloud não é necessária nenhuma ação.

As vulnerabilidades são:

1. Arbitrary File Upload Vulnerability in WEB Transport - CVE-2023-40051
CVSS: 9.0 (Crítica)
Descrição: Permite acesso a todos os diretórios relacionados a conta de serviço utilizada para inicializar o PASOE. Se essa conta tiver privilégios de escrita, o Sistema estará vulnerável ao upload de arquivos maliciosos.
Mitigação: Atualização do OpenEdge para as versões - OpenEdge 11.7.18, 12.2.13 e 12.8.0 ou superior.

2. Denial of Service Vulnerability in WEB Transport - CVE-2023-40052
CVSS: 7.5 (Alta)
Descrição: Um invasor capaz de criar solicitações web malformadas pode causar a interrupção do serviço PASOE. Múltiplos ataques de negação de serviço desse tipo podem resultar na sobrecarga do servidor com solicitações inválidas, comprometendo sua capacidade de processar solicitações legítimas e prejudicando o desempenho do Sistema.
Mitigação: Atualização do OpenEdge para as versões - OpenEdge 11.7.18, 12.2.13 e 12.8.0 ou superior.

Importante destacar que as versões do OpenEdge devem seguir as informações do Ciclo Vida Datasul e Tecnologias Associadas, disponível ao final deste artigo.

Saiba mais
Informações sobre a vulnerabilidade CVE-2023-40051: https://nvd.nist.gov/vuln/detail/CVE-2023-40051
Important Progress OpenEdge Critical Alert for Progress Application Server in OpenEdge (PASOE) - Arbitrary File Upload Vulnerability in WEB Transport
Informações sobre a vulnerabilidade CVE-2023-40052: https://www.cve.org/CVERecord?id=CVE-2023-40052
Important Progress OpenEdge Product Alert for Progress Application Server for OpenEdge (PASOE) - Denial of Service Vulnerability in WEB Transport
Informações sobre o Ciclo de vida OpenEdge Datasul disponíveis em https://tdn.totvs.com/display/public/LDT/Ciclo+Vida+Datasul+e+Tecnologias+Associadas