Progress Software издаде спешна поправка за уязвимост с максимална (10/10) степен на сериозност, засягаща продуктите LoadMaster и LoadMaster Multi-Tenant (MT) Hypervisor, която позволява на атакуващите да изпълняват отдалечено команди на устройството.
Недостатъкът, проследен като CVE-2024-7591, е категоризиран като проблем с неправилно валидиране на входни данни, който позволява на неавтентифициран, отдалечен нападател да получи достъп до интерфейса за управление на LoadMaster чрез специално създадена HTTP заявка.
Липсата на санитарна обработка на потребителския вход обаче може да позволи на нападателя да изпълнява произволни системни команди на уязвими крайни точки.
„Възможно е неавтентифицирани, отдалечени нападатели, които имат достъп до интерфейса за управление на LoadMaster, да издадат внимателно подготвена HTTP заявка, която ще позволи изпълнението на произволни системни команди“, се казва в бюлетина за сигурност.
„Тази уязвимост е затворена, като е извършена санитарна обработка на потребителския вход на заявката, за да се ограничи изпълнението на произволни системни команди.“
LoadMaster е контролер за доставка на приложения (ADC) и решение за балансиране на натоварването, използвано от големи организации за оптимизиране на производителността на приложенията, управление на мрежовия трафик и осигуряване на висока наличност на услугите.
Хипервайзорът MT е версия на LoadMaster, предназначена за среди с много наематели, която позволява множество виртуални мрежови функции да работят на един и същ хардуер.
Установено е, че CVE-2024-7591 засяга LoadMaster версия 7.2.60.0 и всички предишни версии, а също и MT Hypervisor версия 7.1.35.11 и всички предишни версии. Засегнати са и клоновете Long-Term Support (LTS) и Long-Term Support with Feature (LTSF).
За отстраняване на дефекта Progress пусна допълнителен пакет, който може да се инсталира на всяка от уязвимите версии, включително и на по-стари версии, така че няма целеви версии, които да се обновяват, за да се отстрани рискът от тази уязвимост.
Пачът обаче не се прилага за безплатната версия на LoadMaster, така че CVE-2024-7591 остава проблем там.
Progress Software казва, че към момента на публикуване на бюлетина не е получавала съобщения за активна експлоатация на уязвимостта.
Въпреки това на всички потребители на LoadMaster се препоръчва да предприемат подходящи действия за защита на средата си от тази възможност, включително да инсталират добавката, а също и да приложат препоръчаните от производителя мерки за укрепване на сигурността.
