Progress Software, WhatsUp Gold’daki iki kritik güvenlik açığı da dahil olmak üzere altı güvenlik açığını gidermek için yeni bir güncelleme turu yayınladı.
Şirket, sorunların 20 Eylül 2024’te yayınlanan 24.0.1 sürümünde çözüldüğünü söyledi. Şirket, CVE tanımlayıcılarını listelemek dışında kusurların ne olduğuna ilişkin henüz herhangi bir ayrıntı yayınlamadı.
- CVE-2024-46905 (CVSS puanı: 8,8)
- CVE-2024-46906 (CVSS puanı: 8,8)
- CVE-2024-46907 (CVSS puanı: 8,8)
- CVE-2024-46908 (CVSS puanı: 8,8)
- CVE-2024-46909 (CVSS puanı: 9,8) ve
- CVE-2024-8785 (CVSS puanı: 9,8)
Çağırma Ekibinden güvenlik araştırmacısı Sina Kheirkhah, ilk dört kusuru keşfedip rapor etme konusunda itibar kazandı. Trend Micro’dan Andy Niu, CVE-2024-46909 için onaylanırken Tenable, CVE-2024-8785 için kredilendirildi.
Trend Micro’nun kısa süre önce, tehdit aktörlerinin fırsatçı saldırılar gerçekleştirmek için WhatsUp Gold’da yakın zamanda açıklanan diğer güvenlik kusurları için aktif olarak kavram kanıtı (PoC) istismarlarından yararlandığını bildirdiğini belirtmekte fayda var.
Daha önce Shadowserver Vakfı, WhatsUp Gold’daki bir başka kritik hata olan ve Haziran 2024’te Progress tarafından çözülen CVE-2024-4885’e (CVSS puanı: 9,8) karşı istismar girişimleri gözlemlediğini söylemişti.
WhatsUp Gold Müşterilerinin, potansiyel tehditleri azaltmak için en son düzeltmeleri mümkün olan en kısa sürede uygulamaları önerilir.