CVE-2023-41266

Qlik Sense

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-12-07

Официальное описание

Qlik Sense contains a path traversal vulnerability that allows a remote, unauthenticated attacker to create an anonymous session by sending maliciously crafted HTTP requests. This anonymous session could allow the attacker to send further requests to unauthorized endpoints.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-41266 — это критическая уязвимость типа Path Traversal (обход пути) в компоненте Qlik Sense Proxy Service. Она позволяет удаленному неавторизованному злоумышленнику манипулировать HTTP-заголовками запроса для обхода механизмов аутентификации.

В результате эксплуатации атакующий может создать анонимную сессию, которая предоставляет доступ к внутренним эндпоинтам API. Это позволяет выполнять несанкционированные действия в системе, которые в обычных условиях требуют прав администратора или авторизованного пользователя. Уязвимость часто используется в цепочке с другими багами (например, CVE-2023-41265) для достижения полного удаленного выполнения кода (RCE).

Как исправить

Основным и рекомендуемым способом устранения является установка официальных патчей от производителя (Qlik). Необходимо обновить Qlik Sense Enterprise для Windows до одной из следующих версий (или более новых):

  • August 2023 Patch 2
  • May 2023 Patch 6
  • February 2023 Patch 10
  • November 2022 Patch 12
  • August 2022 Patch 14
  • May 2022 Patch 16
  • Initial Release May 2021 Patch 16

Алгоритм обновления: 1. Создайте резервную копию системы и базы данных Repository (PostgreSQL). 2. Скачайте соответствующий Service Release или Patch с портала Qlik. 3. Запустите установщик от имени администратора.

Проверка версии через PowerShell:

get-wmiobject -class win32_product | where-object {$_.Name -like "*Qlik Sense*"} | select-object Name, Version

Временные меры

Если немедленное обновление невозможно, необходимо ограничить возможность эксплуатации на сетевом уровне и уровне конфигурации прокси.

  1. Настройка правил Rewrite в IIS или на внешнем Reverse Proxy (WAF/NGINX) для блокировки запросов, содержащих попытки обхода пути в заголовках или URL (например, использование .., %2e%2e, %2f).

  2. Ограничение доступа к портам Qlik Sense Proxy (по умолчанию 80, 443) только для доверенных IP-адресов или через VPN.

  3. Блокировка подозрительных HTTP-заголовков на уровне сетевого экрана приложений (WAF).

  4. Мониторинг логов Proxy Service на предмет необычных анонимных сессий. Путь к логам по умолчанию:

C:\ProgramData\Qlik\Sense\Log\Proxy\Trace\
  1. Временная остановка служб Qlik Sense (если критичность системы позволяет простой до момента патчинга):
Stop-Service -Name "QlikSenseProxyService"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей