Af Eskil Sørensen, 09/09/24
Progress LoadMaster og LoadMaster Multi-Tenant er sårbare over for en kritisk sårbarhed som kan tillade en angriber i at afvikle kommando fra ”remote” (RCE) på kompromitterede enheder.
Det skriver Bleeping Computer på baggrund af en advisory fra Kemp Technologies, der står bag de to produktserier.
Sårbarheden har id’et CVE-2024-7591 og en CVSS-score på 10, hvilket indikerer, at den både er nem at udnytte og at den giver en angriber mange muligheder.
De berørte produkter er Progress LoadMaster version 7.2.60.0 og alle tidligere versioner og
Progress LoadMaster Multi-Tenant version 7.1.35.11 og alle tidligere versioner.
Progress har udgivet en udvidelsespakke (add-on package), som det anbefales at brugere downloader med henblik på at lukke for anvendelse af denne sårbarhed. Det understreges, at man ikke skal hente en ny opdatering.
Sårbarheden har karakteren CW-20 (Improper Input validation), som beskrives som følger på CWE-listen (Common Weakness Enumeration):
“The product receives input or data, but it does not validate or incorrectly validates that the input has the properties that are required to process the data safely and correctly.“
Links:
https://www.bleepingcomputer.com/news/security/progress-loadmaster-vulnerable-to-10-10-severity-rce-flaw/
https://nvd.nist.gov/vuln/detail/CVE-2024-7591