Progress Software 修复了 LoadMaster 中的一个严重漏洞(CVE-2024-7591)

阅读量52254

发布时间 : 2024-09-10 14:21:16

x
译文声明

本文是翻译文章,文章原作者 Pierluigi Paganini,文章来源:securityaffairs

原文地址:https://securityaffairs.com/168192/security/progress-software-emergency-loadmaster-flaw.html

译文仅供参考,具体内容表达以及含义原文为准。

Progress Software 发布了针对严重漏洞的紧急修复程序,该漏洞被跟踪为 CVE-2024-7591,该漏洞会影响其 LoadMaster 和 LoadMaster 多租户 (MT) 管理程序产品。

该漏洞是一个不正确的输入验证问题,可能允许未经身份验证的远程攻击者使用特制的 HTTP 请求访问 LoadMaster 的管理界面。

“有权访问 LoadMaster 管理界面的未经身份验证的远程攻击者可能会发出精心设计的 http 请求,从而允许执行任意系统命令。”公告中写道。“通过清理请求用户输入来缓解任意系统命令的执行,此漏洞已得到解决。”

Progress LoadMaster 是一款高性能应用程序交付控制器 (ADC) 和负载均衡器。它旨在增强业务关键型应用程序和网站的可用性、可扩展性、性能和安全性。

此漏洞可能使攻击者能够在受影响的系统上执行任意命令。

以下是受影响的产品版本列表:

产品 受影响的版本 修补版本 发布日期
负载大师 7.2.60.0 和所有以前的版本 Add-on Package
XML 验证文件
9月 03 2024
多租户虚拟机管理程序 7.1.35.11 和所有以前的版本 Add-on Package
XML 验证文件
9月 03 2024

如果满足以下条件,则多租户 LoadMaster (LoadMaster MT) 会受到影响:

  • 单个实例化的 LoadMaster VNF 容易受到攻击,必须尽快使用上面列出的附加组件进行修补。
  • 请注意,MT 管理程序或 Manager 节点也容易受到攻击,必须尽快使用上面列出的附加组件进行修补。

正如用户在咨询评论中报告的那样,Progress 发布的插件包不允许在免费版本上安装。

好消息是,Progress 没有发现利用此漏洞的野外攻击。

“我们没有收到任何关于此漏洞已被利用的报告,我们不知道对客户有任何直接影响,”公告称。“尽管如此,我们鼓励所有客户尽快升级他们的 LoadMaster 实施,以强化他们的环境。”

本文翻译自securityaffairs 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66