聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
然而,尽管 Progess 公司已发布 WhatsUp Gold 24.0.1,在上周五修复了这些问题并在上周二发布安全公告,但尚未发布任何漏洞详情。
该公司提醒客户称,“WhatsUp Gold 团队在24.0.1以下版本中发现了6个漏洞。我们提醒所有 WhatsUp Gold 客户尽快将环境升级至在9月20日周五发布的版本24.0.1。如果你运行的版本低于24.0.1且未更新,则环境依然是易受影响的。”
Progress 公司给出的唯一信息是这六个漏洞是由 Summoning 团队的 Sina Kheirkhan、趋势科技的Andy Niu 和 Tenable 公司的研究人员发现的,CVE 编号和CVSS基础分如下:
-
CVE-2024-46905: CVSS 8.8/10(Sina Kheirkhah报送)
-
CVE-2024-46906: CVSS 8.8/10(Sina Kheirkhah报送)
-
CVE-2024-46907: CVSS 8.8/10(Sina Kheirkhah报送)
-
CVE-2024-46908: CVSS 8.8/10(Sina Kheirkhah报送)
-
CVE-2024-46909: CVSS 9.8/10(Andy Niu报送)
-
CVE-2024-8785: CVSS 9.8/10(Tenable 报送)
用户如需更新至最新版本,则需要下载 WhatsUp Gold 24.0.1,在易受攻击的 WhatsUp Gold 服务器上运行并根据提示操作。Progress 公司并未就要求给出更多漏洞详情进行回应。
从8月30日开始,攻击者一直在利用 WhatsUp Gold SQL 注入漏洞CVE-2024-6670和CVE-2024-6671。研究员 Sina Kheirkhah 在5月22日通过ZDI 计划提交给 Progress 公司后,后者在8月16日将其修复。漏洞修复两周后,研究员发布的这两个漏洞的 PoC 利用代码,而趋势科技认为该利用代码已被用于绕认证并实现远程代码执行。
8月初,威胁监控组织 Shadowserver Foundation 也尝试利用在6月25日披露的 WhatsUp Gold 严重RCE漏洞CVE-2024-4885。Kheirkhah 也在两周后发布了该漏洞的完整细节。
原文始发于微信公众号(代码卫士):Progress:尽快修复 WhatsUp Gold 中的多个严重漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论