Synthèse
Des vulnérabilités de sécurité, dont 3 avec un indice de gravité « critique », ont été découvertes dans le produit WhatsUp Gold de Progress, un logiciel de surveillance des infrastructures informatiques.
Note (mise à jour le 08/07/2024) : Une Proof of Concept (PoC) pour l’exploitation de CVE-2024-5008 est disponible en ligne.
Remarque (mise à jour le 15/07/2024) : lesProof of Concept (PoC) pour l’exploitation des failles CVE-2024-5009, CVE-2024-4883 et CVE-2024-4885 sont disponibles en ligne.
Remarque : CVE-2024-4885 semble être activement exploité en ligne.
Risque
Impact estimé de la vulnérabilité sur la communauté cible : élevé (68,97)
Typologie
- Arbitrary File Write
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Remote Code Execution
Produits et versions concernés
Progress WhatsUp Gold, version 23.1.2 et antérieures
Mesures d’atténuation
Conformément aux déclarations du fournisseur, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité signalé dans la section Références.
Vous trouverez ci-dessous uniquement les CVE pour les vulnérabilités de gravité « critique » et « élevée ».
| CVE | |
|---|---|
| CVE-2024-4885 | CVE-2024-5012 |
| CVE-2024-5008 | CVE-2024-5013 |
| CVE-2024-5009 | CVE-2024-5014 |
| CVE-2024-5010 | CVE-2024-5015 |
| CVE-2024-5011 | CVE-2024-5016 |
Références
https://community.progress.com/s/article/WhatsUp-Gold-Security-Bulletin-June-2024
1Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.
