Progress Software已修复其LoadMaster软件中的多个高严重性安全漏洞(CVE-2024-56131、CVE-2024-56132、CVE-2024-56133、CVE-2024-56134、CVE-2024-56135)。
Progress Software的LoadMaster是一款高性能负载均衡器和应用交付控制器(ADC),旨在优化Web应用和服务的可用性、安全性和性能。它帮助将网络流量高效地分配到多个服务器,以确保可靠性和可扩展性。
以下是这些漏洞的描述:
-
CVE-2024-56131**(CVSS评分:8.4)是一个输入验证不当漏洞,可能允许LoadMaster中的认证用户实现操作系统命令注入。
-
CVE-2024-56132**(CVSS评分:8.4)是一个输入验证不当漏洞,可能允许LoadMaster中的认证用户实现操作系统命令注入。
-
CVE-2024-56133**是一个输入验证不当漏洞,可能允许LoadMaster中的认证用户实现操作系统命令注入。
-
CVE-2024-56135**(CVSS评分:8.4)是一个输入验证不当漏洞,可能允许LoadMaster中的认证用户实现操作系统命令注入。
一旦远程攻击者获得LoadMaster管理界面的访问权限并成功认证,就可以通过使用特制的HTTP请求执行任意系统命令。
Progress修复的最后一个高严重性漏洞是**CVE-2024-56134**(CVSS评分:8.4),这是一个输入验证不当漏洞,可能允许获得管理界面访问权限并成功认证的远程攻击者下载系统上任何文件的内容。攻击者可以通过特制的HTTP请求利用该漏洞。
这些漏洞影响以下版本:
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
该公司尚未发现利用上述漏洞的野外攻击。
2024年11月,美国网络安全和基础设施安全局(CISA)将CVE-2024-1212 Progress Kemp LoadMaster问题添加到其已知被利用漏洞(KEV)目录中。
CVE-2024-1212是一个Progress Kemp LoadMaster操作系统命令注入问题,未经认证的远程攻击者可以利用该漏洞执行任意系统命令,带来重大安全风险。
原文始发于微信公众号(黑猫安全):Progress Software修复了多个高严重性的LoadMaster漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论