Progress Software, LoadMaster ve Multi-Tenant (MT) hipervizöründe, keyfi işletim sistemi komutlarının yürütülmesine yol açabilen maksimum öneme sahip bir hata için güvenlik güncellemeleri yayınladı.
CVE-2024-7591 (CVSS puanı: 10.0) olarak izlenen güvenlik açığı, işletim sistemi komut enjeksiyonuna yol açan uygunsuz bir giriş doğrulama hatası olarak tanımlanıyor.
Şirket geçen hafta yayınladığı bir duyuruda, “LoadMaster’ın yönetim arayüzüne erişimi olan kimliği doğrulanmamış, uzak saldırganların, keyfi sistem komutlarının yürütülmesine izin verecek şekilde dikkatlice hazırlanmış bir http isteği göndermesi mümkün” dedi.
“Bu güvenlik açığı, keyfi sistem komutlarının yürütülmesini azaltmak için istek kullanıcı girdisinin temizlenmesiyle kapatıldı.”
Bu kusur aşağıdaki sürümleri etkiliyor –
- LoadMaster (7.2.60.0 ve önceki tüm sürümler)
- Çoklu Kiracı Hipervizörü (7.1.35.11 ve önceki tüm sürümler)
Güvenlik araştırmacısı Florian Grunow, açığı keşfedip bildiren kişi olarak kabul edildi. Progress, güvenlik açığının vahşi doğada istismar edildiğine dair hiçbir kanıt bulamadığını söyledi.
Bununla birlikte, kullanıcıların bir eklenti paketi indirerek en son düzeltmeleri mümkün olan en kısa sürede uygulamaları önerilir. Güncelleme, Sistem Yapılandırması > Sistem Yönetimi > Yazılımı Güncelle’ye giderek yüklenebilir.
Şirket, “Müşterilerimizin tümünü, ortamlarını güçlendirmek için LoadMaster uygulamalarını mümkün olan en kısa sürede yükseltmeye teşvik ediyoruz” dedi. “Ayrıca, müşterilerimizin güvenlik güçlendirme yönergelerimizi takip etmelerini şiddetle öneriyoruz.”