Síntesis
Se han descubierto vulnerabilidades de seguridad, incluidas tres con una clasificación de gravedad de “crítica”, en el producto WhatsUp Gold de Progress, un software para monitorizar infraestructuras de TI.
Nota (actualizada el 08/07/2024): Un Proof of Concept (PoC) para la explotación de Note (aggiornamento del 07/08/2024): un Proof of Concept (PoC) per lo sfruttamento delle CVE-2024-5008 risulta disponibile in rete.
está disponible en línea.
Nota (actualizada el 15/07/2024): Las Proof of Concept (PoC) para explotar CVE-2024-5009, CVE-2024-4883 e CVE-2024-4885 están disponibles en línea.
Nota: CVE-2024-4885 parece ser explotado activamente en línea.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad objetivo: Alto (68,97)
Tipología
- Arbitrary File Write
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Remote Code Execution
Productos y versiones afectados
Progreso de WhatsUp Gold, versión 23.1.2 y anteriores
Acciones de mitigación
De acuerdo con las declaraciones de los proveedores, se recomienda actualizar los productos vulnerables siguiendo las instrucciones del boletín de seguridad reportado en la sección Referencias.
A continuación se muestran solo los CVE para vulnerabilidades con severidad “crítica” y “alta”.
| CVE | |
|---|---|
| CVE-2024-4885 | CVE-2024-5012 |
| CVE-2024-5008 | CVE-2024-5013 |
| CVE-2024-5009 | CVE-2024-5014 |
| CVE-2024-5010 | CVE-2024-5015 |
| CVE-2024-5011 | CVE-2024-5016 |
Referencias
https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-June-2024
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
