nvd
Qlik
Уязвимости
11
Эксплуатируемые
3
Критический
2
Высокий
3
Топ уязвимостей
CVE-2023-48365Qlik Sense Enterprise для Windows до August 2023 Patch 2 допускает не прошедшее проверку подлинности удаленное выполнение кода, также известное как QB-21683. Из-за неправильной проверки HTTP-заголовков удаленный злоумышленник может повысить свои привилегии путем туннелирования HTTP-запросов, что позволит ему выполнять HTTP-запросы на внутреннем сервере, на котором размещено приложение репозитория. Исправленные версии: August 2023 Patch 2, May 2023 Patch 6, February 2023 Patch 10, November 2022 Patch 12, August 2022 Patch 14, May 2022 Patch 16, February 2022 Patch 15 и November 2021 Patch 17. ПРИМЕЧАНИЕ: эта проблема существует из-за неполного исправления CVE-2023-41265.
CVE-2023-41265Уязвимость HTTP Request Tunneling, обнаруженная в Qlik Sense Enterprise for Windows для версий May 2023 Patch 3 и более ранних, February 2023 Patch 7 и более ранних, November 2022 Patch 10 и более ранних и August 2022 Patch 12 и более ранних, позволяет удаленному злоумышленнику повысить свои привилегии путем туннелирования HTTP-запросов в необработанном HTTP-запросе. Это позволяет им отправлять запросы, которые выполняются сервером бэкэнда, на котором размещено приложение репозитория. Эта проблема исправлена в August 2023 IR, May 2023 Patch 4, February 2023 Patch 8, November 2022 Patch 11 и August 2022 Patch 13.
CVE-2021-41989Qlik QlikView до версии 12.60.20100.0 создает временный файл в каталоге с небезопасными разрешениями.
CVE-2021-41988Qlik NPrinting Designer до версии 21.14.3.0 создает временный файл в каталоге с небезопасными разрешениями.
CVE-2025-61138Было обнаружено, что Qlik Sense Enterprise v14.212.13 содержит утечку информации через каталог /dev-hub/.
CVE-2023-41266Уязвимость обхода пути, обнаруженная в Qlik Sense Enterprise for Windows для версий May 2023 Patch 3 и более ранних, February 2023 Patch 7 и более ранних, November 2022 Patch 10 и более ранних и August 2022 Patch 12 и более ранних, позволяет неаутентифицированному удаленному злоумышленнику создать анонимный сеанс. Это позволяет им передавать HTTP-запросы на неавторизованные конечные точки. Эта проблема исправлена в August 2023 IR, May 2023 Patch 4, February 2023 Patch 8, November 2022 Patch 11 и August 2022 Patch 13.
CVE-2019-11628Проблема была обнаружена в QlikView Server до 11.20 SR19, 12.00 и 12.10 до 12.10 SR11, 12.20 до SR9 и 12.30 до SR2; и в установках Qlik Sense Enterprise и Qlik Analytics Platform, в которых отсутствуют следующие уровни исправлений: February 2018 Patch 4, April 2018 Patch 3, June 2018 Patch 3, September 2018 Patch 4, November 2018 Patch 4 или February 2019 Patch 2. Аутентифицированный пользователь может обойти предполагаемые ограничения на чтение файлов с помощью специально созданных запросов браузера.
CVE-2015-3623Уязвимость XML External Entity (XXE) в QlikTech Qlikview до версии 11.20 SR12 позволяет удаленным злоумышленникам проводить атаки Server-Side Request Forgery (SSRF) и читать произвольные файлы через специально созданные XML-данные в запросе к AccessPoint.aspx.
CVE-2022-42248В QlikView 12.60.2 обнаружена сохраненная уязвимость межсайтового скриптинга (XSS) в функциональности QvsViewClient.
CVE-2022-0564В Qlik Sense Enterprise on Windows обнаружена уязвимость, позволяющая удаленному злоумышленнику проводить атаку по времени и выявлять действительные учетные записи пользователей. Проблема затрагивает системы с настроенным LDAP. Для эксплуатации уязвимости необходимо отправить запросы аутентификации на уязвимую систему. Уязвимость связана с различием во времени ответа на запросы аутентификации для существующих и несуществующих пользователей [1][2][3].
Источники:
- [1] https://csirt.divd.nl/DIVD-2021-00021/
- [2] https://csirt.divd.nl/CVE-2022-0564/
- [3] https://community.qlik.com/t5/Release-Notes/Qlik-Sense-Enterprise-on-Windows-November-2021-Initial-Release/ta-p/1856531
CVE-2021-36761Функция GeoAnalytics в Qlik Sense April 2020 patch 4 позволяет SSRF.