2024/01/01 SecurityOnline — Progress Software Corporation は、重要なビジネス・アプリケーションの開発/導入/管理を行うグローバル・プロバイダーである。その Progress のネットワーク監視ソフトウェア WhatsUp Gold に存在する脆弱性に関する、セキュリティ情報が発表された。この情報が説明するのは、WhatsUp Gold サーバへの不正アクセスと、LDAP コンフィグ、機密情報の漏洩を達成し得る、3件の脆弱性の詳細である。
最も深刻な脆弱性 CVE-2024-12108 (CVSS:9.6) は、パブリック API を介した WhatsUp Gold サーバの完全な制御を、攻撃者に許すものである。2番目の脆弱性 CVE-2024-12106 (CVSS:9.4) は、未認証の攻撃者に対して LDAP コンフィグを許し、不正アクセスやデータ侵害を生じるものである。3番目の脆弱性 CVE-2024-12105 (CVSS:6.5) は、特別に細工された HTTP リクエストを通じて、認証済みユーザーに機密情報の抽出を許すものである。
これらの脆弱性が、対処されずに放置されると、不正アクセス/データ操作/機密情報の漏洩といった、深刻なセキュリティ侵害につながる可能性がある。脆弱性 CVE-2024-12108/CVE-2024-12106 の CVSS スコアが高いことが、この脅威の重大性を強調している。
すでに Progress は、バージョン 24.0.2 を提供し、これらの脆弱性に対処している。すべての WhatsUp Gold ユーザーに対して強く推奨されるのは、自身の環境に対して、直ちにアップグレードを適用することだ。
上記の最新バージョンには、3件の脆弱性に対するパッチが含まれており、潜在的な攻撃に対する、セキュリティと保護を強化するものとなっている。Progress コミュニティ Web サイトから、更新されたインストーラをダウンロードし、提供された手順に従って WhatsUp Gold サーバをアップグレードできる。
Progress WhatsUp Gold の3件の脆弱性が FIX しました。ご利用のチームは、ご注意ください。関連すする直近の記事は、2024/12/03 の「WhatsUp Gold の RCE 脆弱性 CVE-2024-8785:PoC エクスプロイトが提供」です。よろしければ、WhatsUp Gold で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.