Progress Software 发布了针对严重漏洞的紧急修复程序,该漏洞被跟踪为 CVE-2024-7591,该漏洞会影响其 LoadMaster 和 LoadMaster 多租户 (MT) 管理程序产品。
该漏洞是一个不正确的输入验证问题,可能允许未经身份验证的远程攻击者使用特制的 HTTP 请求访问 LoadMaster 的管理界面。
“有权访问 LoadMaster 管理界面的未经身份验证的远程攻击者可能会发出精心设计的 http 请求,从而允许执行任意系统命令。”公告中写道。“通过清理请求用户输入来缓解任意系统命令的执行,此漏洞已得到解决。”
Progress LoadMaster 是一款高性能应用程序交付控制器 (ADC) 和负载均衡器。它旨在增强业务关键型应用程序和网站的可用性、可扩展性、性能和安全性。
此漏洞可能使攻击者能够在受影响的系统上执行任意命令。
以下是受影响的产品版本列表:
产品 | 受影响的版本 | 修补版本 | 发布日期 |
负载大师 | 7.2.60.0 和所有以前的版本 | Add-on Package XML 验证文件 |
9月 03 2024 |
多租户虚拟机管理程序 | 7.1.35.11 和所有以前的版本 | Add-on Package XML 验证文件 |
9月 03 2024 |
如果满足以下条件,则多租户 LoadMaster (LoadMaster MT) 会受到影响:
- 单个实例化的 LoadMaster VNF 容易受到攻击,必须尽快使用上面列出的附加组件进行修补。
- 请注意,MT 管理程序或 Manager 节点也容易受到攻击,必须尽快使用上面列出的附加组件进行修补。
正如用户在咨询评论中报告的那样,Progress 发布的插件包不允许在免费版本上安装。
好消息是,Progress 没有发现利用此漏洞的野外攻击。
“我们没有收到任何关于此漏洞已被利用的报告,我们不知道对客户有任何直接影响,”公告称。“尽管如此,我们鼓励所有客户尽快升级他们的 LoadMaster 实施,以强化他们的环境。”
发表评论
您还未登录,请先登录。
登录