Търсене
Close this search box.

Progress Software издаде спешна поправка за уязвимост с максимална (10/10) степен на сериозност, засягаща продуктите LoadMaster и LoadMaster Multi-Tenant (MT) Hypervisor, която позволява на атакуващите да изпълняват отдалечено команди на устройството.

Недостатъкът, проследен като CVE-2024-7591, е категоризиран като проблем с неправилно валидиране на входни данни, който позволява на неавтентифициран, отдалечен нападател да получи достъп до интерфейса за управление на LoadMaster чрез специално създадена HTTP заявка.

Липсата на санитарна обработка на потребителския вход обаче може да позволи на нападателя да изпълнява произволни системни команди на уязвими крайни точки.

„Възможно е неавтентифицирани, отдалечени нападатели, които имат достъп до интерфейса за управление на LoadMaster, да издадат внимателно подготвена HTTP заявка, която ще позволи изпълнението на произволни системни команди“, се казва в бюлетина за сигурност.

„Тази уязвимост е затворена, като е извършена санитарна обработка на потребителския вход на заявката, за да се ограничи изпълнението на произволни системни команди.“

LoadMaster е контролер за доставка на приложения (ADC) и решение за балансиране на натоварването, използвано от големи организации за оптимизиране на производителността на приложенията, управление на мрежовия трафик и осигуряване на висока наличност на услугите.

Хипервайзорът MT е версия на LoadMaster, предназначена за среди с много наематели, която позволява множество виртуални мрежови функции да работят на един и същ хардуер.

Установено е, че CVE-2024-7591 засяга LoadMaster версия 7.2.60.0 и всички предишни версии, а също и MT Hypervisor версия 7.1.35.11 и всички предишни версии. Засегнати са и клоновете Long-Term Support (LTS) и Long-Term Support with Feature (LTSF).

За отстраняване на дефекта Progress пусна допълнителен пакет, който може да се инсталира на всяка от уязвимите версии, включително и на по-стари версии, така че няма целеви версии, които да се обновяват, за да се отстрани рискът от тази уязвимост.

Пачът обаче не се прилага за безплатната версия на LoadMaster, така че CVE-2024-7591 остава проблем там.

Progress Software казва, че към момента на публикуване на бюлетина не е получавала съобщения за активна експлоатация на уязвимостта.

Въпреки това на всички потребители на LoadMaster се препоръчва да предприемат подходящи действия за защита на средата си от тази възможност, включително да инсталират добавката, а също и да приложат препоръчаните от производителя мерки за укрепване на сигурността.

 

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
Бъдете социални
Още по темата
02/10/2024

Eксплоатирани са уязвимости...

В понеделник американската агенция за киберсигурност...
30/09/2024

Критичен недостатък в NVIDI...

Критична уязвимост в NVIDIA Container Toolkit...
26/09/2024

Вратите на здравно заведени...

Изследовател твърди, че американско здравно заведение...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!