Résumé
Un problème de sécurité dans Qlik Sense Enterprise pour Windows a été identifié et des correctifs ont été mis à disposition. Si elle est exploitée avec succès, cette vulnérabilité pourrait conduire à une compromission du serveur exécutant le logiciel Qlik Sense, y compris l’exécution de code à distance (RCE).
Ce problème a été signalé de manière responsable à Qlik et aucun rapport faisant état d’une exploitation malveillante n’a été reçu.
CVE-2024-xxxx : (QB-26216) Élévation de privilèges pour utilisateur authentifié/anonyme
Gravité : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 8,8 (haute)
En raison d’une mauvaise validation des entrées, un attaquant distant disposant des privilèges existants est capable de les élever au rang rôle du système interne, qui à son tour leur permet d’exécuter des commandes sur le serveur.
Cote de gravité :
Utilisation du système de notation CVSS V3.1 (https://nvd.nist.gov/vuln-metrics/cvss), Qlik évalue cette gravité comme haut.
Logiciels concernés
Toutes les versions de Qlik Sense Enterprise pour Windows préalable à et comprenant ces versions sont impactées :
- Patch de février 2024 3
- Patch de novembre 2023 8
- Patch 1 d’août 20233
- Mise à jour 1 de mai 20235
- Patch 1 de février 20233
- Mise à jour 1 de novembre 20223
- Mise à jour 1 d’août 20226
- Patch 1 de mai 20227
Résolution
Recommandation :
Les clients devraient mettre à niveau Qlik Sense Enterprise pour Windows vers une version contenant des correctifs pour ces problèmes. Des correctifs sont disponibles pour le Suivant versions :
- Mai 2024 IR
- Février 2024 Patch 4
- Mise à jour 9 de novembre 2023
- Mise à jour 14 d’août 2023
- Mise à jour 16 de mai 2023
- Février 2023 Patch 14
- Mise à jour 14 de novembre 2022
- Mise à jour 17 d’août 2022
- Mise à jour 18 de mai 2022
